September 2019 - WordPress plug-in security update

In de afgelopen maand is er weer het een en ander gebeurd in de WordPress (plug-in) community. In deze post lees je informatie over de update van WordPress zelf en over de plug-ins Bold Page Builder, Formidable Forms en Rich Reviews.

De volgende plug-ins zijn in augustus en september 2019 in opspraak gekomen en vereisen je aandacht. Kijk dus meteen in je eigen site(s) of je een of meerdere van deze boosdoeners gebruikt. Lees ook de augustus-update, mocht je die gemist hebben.

Geen artikel meer missen? Stel de RSS-feed in binnen je e-mailprogramma of RSS-reader!

WordPress

Je hoort vaak commentaar op WordPress. "Het is super-onveilig en wordt continu gehackt!" wordt er dan gezegd. 

Als er iets is wat je van deze maandelijkse security-updates hebt kunnen opsteken, is dat dat hacken niet aan WordPress zelf ligt. Het zijn veelal de plug-ins en thema's die voor achterdeurtjes in het systeem zorgen. En tja, als je dan binnen bent, dan kun je de uitgebreide functionaliteit van WordPress misbruiken om een website over te nemen of haar bezoekers te misleiden.

WordPress daar de schuld van geven, is dan niet logisch. Het is net zo krom als dat je zegt dat het slot van je voordeur niet deugt, omdat er inbrekers zijn binnengekomen via het keukenraam (dat je 's morgens zelf open hebt laten staan).

Dat neemt natuurlijk niet weg dat iedere programmeur wel eens wat fouten maakt. En in dit geval waren het de mensen achter WordPress zelf. In versie 5.2.2 zitten namelijk een aantal fouten waardoor hackers via Cross Site Scripting (XSS) bezoekers van websites kunnen infecteren met virussen of gevoelige informatie kunnen stelen.

Update je WordPress versie naar 5.2.3 om deze lekken te dichten. Voor alle versies vanaf WordPress 3.7 is een update uitgebracht. Dus ook als je nog een mega-oude website hebt, kun je je beschermen tegen deze XSS-aanvallen. 

Bold Page Builder

Het maken van een mooie website hoeft niet moeilijk te zijn. Daarom zijn website-builders zoals onze eigen SLIMON zo populair onder hobbyisten en ZZP'ers. Feitelijk zijn ze daardoor niets anders dan een doos met Lego-blokjes waarmee je een kunstwerk bouwt. WordPress is daarin heel anders, daar heb je namelijk te maken met de basis, verschillende thema's en ook nog plug-ins.

De Bold Page Builders streeft er naar om ook WordPress om te toveren in een soort website-builder. Door het aanbieden van verschillende blokken die je op je website kunt slepen, wordt het ook met WordPress makkelijk om zonder al te veel inhoudelijke kennis een in het oog springende website te maken.

De onderzoekers van The Ninja Technology Network vonden een manier om, zelfs zonder ingelogd te zijn, functies aan te roepen die alleen voor admins beschikbaar moeten zijn. Ze noemen daarbij het aanpassen van instellingen en importeren van gegevens als voorbeelden. Je moet er niet aan denken dat je klanten opeens hun gevoelige persoonlijke gegevens onbeveiligd gaan versturen omdat een hacker je SSL-instelling uitgeschakeld heeft...

Gebruik je de Bold Page Builder plug-in? Eind augustus brachten de ontwikkelaars versie 2.3.2 uit, waarmee je niet meer kwetsbaar bent voor dit lek. Inmiddels zijn ze al bij 2.3.9, maar dat zijn alleen maar functionele updates. 

Formidable Forms

Soms moet je maar ergens uit afleiden dat iets een probleem had kunnen zijn. Zo lazen ze bij WordFence dat er met een update van de Formidable Forms plug-in een security-dingetje gefixt wordt.

De plug-in claimt de meest krachtige formulier-bouw-oplossing te zijn voor je WordPress site. Zoals zo veel, natuurlijk wel mét een pro-variant waar je voor moet betalen. In oudere versies hebben ze een XSS-probleem (hey, waar hebben we die eerder gezien?) opgelost. En ook al is er nog geen misbruik geconstateerd door onderzoekers zoals die van WordFence en NinTechNet, adviseren we toch om de update te installeren.

Gebruik je Formidable Forms? In versie 4.02.03 hebben ze dit lek gedicht.

Rich Reviews

Als je ook maar iets van advies geeft over hoe je een WordPress site veilig houdt, dan heb je het over het updaten en weggooien van plug-ins. Een plug-in die namelijk al langer dan een jaar geen update meer heeft gehad, moet je gewoon niet meer willen gebruiken. Klaar, uit.

Toch zijn er volgens een recente WordFence scan nog 16.000 websites die gebruik maken van de Rich Reviews plug-in, waar een developer 2 jaar geleden voor het laatst naar keek. Hackers deden dat helaas wel, wat er toe geleid heeft dat websites die deze plug-in toch nog gebruiken actief misbruikt worden.

Updaten gaat niet, want zelfs WordPress heeft deze plug-in een half jaar geleden al uit de 'winkel' gehaald. Ze werken schijnbaar wel aan een nieuwe versie. Of dat dan een update van de bestaande of een hele nieuwe plug-in wordt, is nog onduidelijk.

Gebruik je Rich Reviews? Verwijder deze plug-in dan direct en gebruik een alternatief! Kijk eens naar WP Customer Reviews.