Mei 2019 - WordPress plug-in security update

In de afgelopen maand is er weer het een en ander gebeurd in de WordPress plug-in community.

In de afgelopen maand is er weer het een en ander gebeurd in de WordPress plug-in community.

De volgende plug-ins zijn in april en mei 2019 in opspraak gekomen en vereisen je aandacht. Kijk dus meteen in je eigen site(s) of je een of meerdere van deze boosdoeners gebruikt.

WooCommerce Checkout Manager

De WooCommerce Checkout Manager plug-in wordt gebruikt om het formulier van je WooCommerce afreken-pagina aan te passen. Eind april werden hier twee problemen in gevonden. 

Het eerste lek maakt het voor niet als admin-ingelogde gebruikers mogelijk om bestanden te uploaden tijdens het afrekenen. Handig als je als klant een PDF-je mee moet sturen, niet als je dan opeens een hackscript voor je kiezen krijgt. 

Bij het oplossen hiervan kwam er nog een tweede probleem aan het licht. In plaats van een bestand te uploaden tijdens het afrekenen, bleek het namelijk ook mogelijk te zijn om bestanden te verwijderen. En niet alleen je eigen bestanden, maar ieder willekeurig bestand in de uploads map.

Voor beide issues biedt WordPress out-of-the-box bescherming. Door de ontwikkelaars van de plug-in is code gebruikt die de standaard bescherming weet te omzeilen. Handig voor hun, niet voor de gebruikers.

Beide lekken zijn inmiddels gedicht in versie 4.3.

Yellow Pencil Visual Theme Customizer

De Yellow Pencil Visual Theme Customizer plug-in maakt het mogelijk om zonder programmeerkennis je thema's aan te passen en is om die reden vrij populair bij WordPress-gebruikers. 

De ontwikkelaars hebben helaas een fout gemaakt in hun denkproces. Ze bepaalden namelijk aan de hand van een URL of iemand een admin of geregistreerde gebruiker is. En een URL kan je in je browser intypen en valt dus erg gemakkelijk te neppen.

De nieuwe versie 7.2.1 is twee weken geleden uitgebracht en beschermt tegen deze hack.

Yuzo Related Posts

De Yuzo Related Posts plug-in biedt een (betere) mogelijkheid om aan elkaar gerelateerde berichten te beheren. Erg fijn als je regelmatig artikelen plaatst die bijvoorbeeld samen een serie vormen.

Deze plug-in is op 30 maart uit de WordPress plug-in lijst verwijderd, omdat een slordige onderzoeker een lek publiekelijk bekend maakte zonder de ontwikkelaar hiervan eerst op de hoogte te stellen. 

Ook in deze situatie werd het lek veroorzaakt doordat de ontwikkelaar de standaard WordPress functionaliteit verkeerd gebruikt (of misbruikt). De ontwikkelaar heeft inmiddels zelf al het advies gegeven om de plug-in te verwijderen uit alle WordPress websites die hem gebruiken en werkt aan een nieuwe versie.

Pipdig Power Pack (P3)

Het verhaal rondom Pipdig is uitgebreid genoeg om een film van te maken. Het staat bol van de spanning, intriges en beschuldigingen.

De korte versie is dat de makers van de plug-in zelf verschillende achterdeurtjes in hun code hebben ingebouwd. Zo konden ze zich van afstand niet alleen toegang verschaffen tot je admin-dashboard, maar bevatte de plug-in ook een zogenaamde kill-switch. Hiermee konden ze, wederom van afstand, een hele website plat leggen of zelfs de database verwijderen. 

Onder druk van onderzoekende partijen zoals WordFence en Jem Turner werd er een nieuwe versie uitgebracht zonder veel van de gehekelde achterdeurtjes. Een schuldbekentenis kwam er echter niet. Sterker nog, er werden stappen ondernomen om de hele zaak te verdoezelen. Archieven werden plotseling verwijderd, changelogs aangepast en alle aantijgingen werden ontkend.

Gelukkig hebben de onderzoekers alles opgeslagen en is er dus voldoende bewijslast om alle plug-ins en thema's van Pipdig per direct te verwijderen en nooit meer te vertrouwen.