image

WordPress updatet populaire plug-in op 1 miljoen websites wegens kritiek lek

donderdag 22 oktober 2020, 09:13 door Redactie, 2 reacties

WordPress heeft een populaire plug-in wegens een kritieke kwetsbaarheid bij zo'n 1 miljoen websites geüpdatet. Sommige gebruikers waren echter niet blij met de automatische update, aangezien ze deze optie niet hadden ingeschakeld. De kwetsbaarheid bevond zich in Loginizer. Via deze plug-in kunnen WordPress-sites bruteforce-aanvallen blokkeren.

Na een aantal mislukte inlogpogingen wordt het ip-adres van de gebruiker op een blacklist geplaatst. Verder biedt de plug-in de mogelijkheid om andere beveiligingsopties voor de website in te stellen, zoals tweefactorauthenticatie, captcha's of een "wachtwoordloze login". Loginizer is op meer dan 1 miljoen WordPress-websites geïnstalleerd.

De bescherming tegen bruteforce-aanvallen was ook het onderdeel dat de kwetsbaarheid veroorzaakte. Wanneer een gebruiker met een onbekende gebruikersnaam inlogt wordt de poging in de back-enddatabase opgeslagen. De gebruikersnaam alsmede andere parameters werden echter niet goed gecontroleerd voordat die via een SQL-query aan de database werden toegevoegd. Zo was SQL-injection mogelijk waardoor een aanvaller de website had kunnen overnemen.

Op 16 oktober verscheen er een nieuwe versie van de plug-in die het beveiligingslek verhelpt. In eerste instantie koos de ontwikkelaar ervoor om in de release notes geen details over de kwetsbaarheid te geven, zodat gebruikers de tijd kregen om te updaten. Om het updateproces te versnellen besloot WordPress die automatisch onder websites uit te rollen, ook bij websites waar het automatisch updaten niet stond ingeschakeld. Iets wat bij sommige gebruikers voor kritiek zorgde.

Volgens de ontwikkelaar van de Loginizer heeft WordPress de update uitgerold omdat het om een beveiligingsupdate gaat. WordPress heeft sinds WordPress versie 3.7 de mogelijkheid om kwetsbaarheden in plug-ins via automatische updates te verhelpen. "En we hebben het al vele keren wegens beveiligingslekken in plug-ins gebruikt", zegt Samuel Wood van het WordPress-team. Door de actie van WordPress beschikt inmiddels 89 procent van de websites over een bijgewerkte plug-in. Op de statistiekenpagina van de plug-in staat dat die de afgelopen week meer dan 1,2 miljoen keer is gedownload.

Reacties (2)
23-10-2020, 22:24 door WPbeveiligen
De ironie: beveiligingsplugin lek..

Ik zit ook nog steeds te wachten op Really Simple SSL, die staat bij momenteel bij 4.000.000+ sites actief..
Die wordt overal ingeknalt alsof het niets is.. hopelijk blijft dit gewoon goed gaan natuurlijk, anders moet ik ook honderden sites nalopen :)

Van de week nog een script uit een site gehaald, die deed in 4 regels een poging om een administrator aan te maken, en wanneer dit eenmaal lukte verstuurde die de logingegevens + website via een Telegram api naar.. een onbekende.

WordPress zit er gelukkig bovenop, maar het blijft: gooi niet zomaar elke plugin in je website :)
En vooral geen 2-3 brute-force beveiligers, meer risico dan beveiliging.

Configureer 1 plugin goed, en zo hou je database ook nog een beetje clean.
Al die log's van meerdere plugins wil je niet in je database hebben namelijk.
24-10-2020, 22:20 door Krakatau
PHP-stack === bagger
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.