9 plugins gevonden met ernstige lekken

Gehacked?

In een negental populaire plug-ins voor WordPress zijn ernstige gebreken gevonden op het gebied van beveiliging. Hierdoor zou er van buitenaf kwaadwillenden de controle over websites die met WordPress zijn gebouwd volledig overnemen. Deze plug-ins zijn gezamenlijk goed voor ruim anderhalf miljoen actieve installaties, en op een schaal van 1 tot 10 wat betreft de ernst en de potentiële impact van deze gebreken zijn de manco’s zonder uitzondering met een 9 beoordeeld.

Het gaat volgens security.nl om kwetsbaarheden op het vlak van ‘SQL-injection’, een techniek die veel door hackers wordt misbruikt om in de database van een website allerlei opdrachten uit te voeren die eigenlijk niet uitgevoerd zouden mogen worden of om gegevens in te zien waar ze niet bij zouden moeten kunnen. Op die manier maken hackers geregeld wachtwoorden en andere gevoelige data buit. SQL is een standaard programmeertaal en staat voor ‘Structured Query Language’ en wordt gebruikt om bijvoorbeeld gegevens in een database op te vragen of juist te wijzigen, maar als deze code niet goed is opgebouwd door de programmeur wordt deze kwetsbaar voor kwaadaardige code.

De beveiligingslekken werden ontdekt door securitybedrijf Fortinet. Tim Duong is werkzaam bij het bedrijf en zegt: ‘Het interessante is dat acht van de negen beveiligingslekken via hetzelfde eenvoudige codepatroon zijn gevonden waardoor ze kwetsbaar voor SQL-injection waren. Ondanks de mogelijkheid tot misbruik kan het filteren van gebruikersinvoer veel ontwikkelaars gewoon niets schelen’. Hoewel dit geen nieuwe techniek is, stelt Duong verder dat ‘SQL-injection altijd een serieuze beveiligingsdreiging vormt voor webapplicaties en webservers. Om het te voorkomen zouden ontwikkelaars altijd programmeerstandaarden en best practices voor veilig programmeren moeten volgen.’

Gebruikers updaten plug-ins niet op tijd

De ontwikkelaars van de betreffende plug-ins zijn door Fortinet gewaarschuwd en hebben de nodige beveiligingsupdates uitgebracht, maar dan moeten gebruikers deze updates wel daadwerkelijk toepassen. In de praktijk blijkt dat dit niet altijd gebeurt.

Belangrijke plug-ins waar de kwetsbaarheden in zijn geconstateerd:

NextGEN Gallery (900.000 keer geïnstalleerd)
Photo Gallery (300.000 keer geïnstalleerd)
Popup Builder (100.000 keer geïnstalleerd)

Al onze klanten zijn ingelicht, wij hebben vooraf al maatregelen genomen door altijd in overleg de updates te verzorgen voor onze klanten.

Bron: Security.nl / Fortinet

Gehacked? Neem contact op!

  • Graag de FTP gegevens van uw website en wordpress gegevens van uw website. Deze worden met zorg behandeld. Het uur tarief is €59,- per uur (excl. BTW) geen start kosten.
Website zonder zorgen? Dat kan!
Onderhoud uw website goed!

Gerelateerd aan dit bericht

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Fill out this field
Fill out this field
Geef een geldig e-mailadres op.

Menu