WordPress implementeert gedwongen beveiligingsupdate voor gevaarlijke bug in populaire plug-in
Het WordPress-beveiligingsteam heeft vorige week een zeldzame stap gezet en een minder bekende interne mogelijkheid gebruikt om met geweld een beveiligingsupdate voor een populaire plug-in te pushen.
WordPress-sites met de Loginizer-plug-in zijn deze week geforceerd bijgewerkt naar Loginizer 1.6.4.Deze versie bevatte een beveiligings fix voor een gevaarlijke SQL-injectiefout waardoor hackers WordPress-sites met oudere versies van de Loginizer-plug-in konden overnemen.
Loginizer is een van de meest populaire WordPress-plug-ins van dit moment, met een installatiebasis van meer dan een miljoen sites.
De plug-in biedt beveiligingsverbeteringen voor de WordPress-inlogpagina. Volgens de officiële beschrijving kan Loginizer IP-adressen op de zwarte of witte lijst zetten voor toegang tot de WordPress-inlogpagina, ondersteuning voor tweefactorauthenticatie toevoegen of eenvoudige CAPTCHA’s toevoegen om geautomatiseerde inlogpogingen te blokkeren, naast vele andere functies.
SQL-INJECTIE ONTDEKT IN LOGINIZER
Deze week onthulde beveiligingsonderzoeker Slavco Mihajloski een ernstige kwetsbaarheid in de Loginizer-plug-in. Volgens een beschrijving van de WPScan WordPress-kwetsbaarheidsdatabase, zit de beveiligingsbug in het brute-force-beschermingsmechanisme van Loginizer, dat standaard is ingeschakeld voor alle sites waarop Loginizer is geïnstalleerd.
Om deze bug te misbruiken, kan een aanvaller proberen in te loggen op een WordPress-site met een verkeerd opgemaakte WordPress-gebruikersnaam waarin hij SQL-instructies kan opnemen. Wanneer de authenticatie mislukt, registreert de Loginizer-plug-in deze mislukte poging in de database van de WordPress-site, samen met de mislukte gebruikersnaam.
Maar zoals Slavco en WPScan uitleggen, zuivert de plug-in de gebruikersnaam niet en laat de SQL-instructies intact, waardoor externe aanvallers code kunnen uitvoeren tegen de WordPress-database – in wat beveiligingsonderzoekers een niet-geverifieerde SQL-injectie-aanval noemen.
Het stelt elke niet-geverifieerde aanvaller in staat om een WordPress-website volledig in gevaar te brengen”, vertelde Ryan Dewhurst, oprichter en CEO van WPScan, vandaag in een e-mail aan ZDNet.
“Hierdoor kan iedereen met een aantal elementaire commandoregelvaardigheden een WordPress-website volledig in gevaar brengen”, aldus beveiligingsonderzoeker Dewhurst.
GEFORCEERDE PLUGIN-UPDATE ONTVANGT PUBLIEKE BACKLASH
De bug is een van de ergste beveiligingsproblemen die de afgelopen jaren in WordPress-plug-ins zijn ontdekt, en daarom lijkt het WordPress-beveiligingsteam te hebben besloten om de Loginizer 1.6.4-patch met geweld naar alle betrokken sites te pushen.
Dewhurst vertelde ZDNet dat deze “geforceerde plug-in update” -functie aanwezig is in de WordPress codebase sinds v3.7, uitgebracht in 2013; het is echter zeer zelden gebruikt.”Een kwetsbaarheid die ik zelf ontdekte in de populaire Yoast SEO WordPress-plug-in in 2015 werd gedwongen bijgewerkt. Hoewel de kwetsbaarheid die ik ontdekte lang niet zo gevaarlijk was als degene die werd ontdekt in de Loginizer WordPress-plug-in,” zei Dewhurst.
“Ik ben niet op de hoogte van andere [gevallen van gedwongen updates van plug-ins], maar het is zeer waarschijnlijk dat er andere zijn geweest”, voegde de oprichter van WPScan toe.
Maar er is een reden waarom het WordPress-beveiligingsteam deze functie niet voor alle kwetsbaarheden van plug-ins gebruikt en dit alleen voor de slechte bugs. Zodra de Loginizer 1.6.4-patch vorige week WordPress-sites bereikte, begonnen gebruikers te klagen op het plug-in forum in de WordPress.org-repository.
“Loginizer is automatisch geüpdatet van 1.6.3 naar 1.6.4, hoewel ik deze nieuwe WordPress-optie NIET had geactiveerd. Hoe is het mogelijk?”, Vroeg een ontevreden gebruiker. “Ik heb ook dezelfde vraag. Het is gebeurd op 3 websites die ik verzorg, waarvan geen enkele is ingesteld op automatisch updaten”, zei een ander.
Dewhurst is van mening dat de functie niet breder wordt gebruikt, omdat het WordPress-team de “risico’s van het doorgeven van een kapotte patch naar zoveel gebruikers” vreest.
WordPress core-ontwikkelaar Samuel Wood zei deze week dat de functie “vaak” werd gebruikt, maar gaf geen details over andere gevallen waarin deze werd gebruikt. In 2015 zei een andere WordPress-ontwikkelaar dat de geforceerde updatefunctie van de plug-in slechts vijf keer werd gebruikt sinds de lancering in 2013, wat bevestigt dat deze functie alleen wordt gebruikt voor de kritieke bugs die miljoenen sites treffen, en niet alleen voor de kwetsbaarheid van plug-ins.
WordPress onderhoud uitbesteden
Naast onze WordPress onderhoud service, kunt u bij Flexamedia ook uw website laten beveiligen. Zo bent u verzekerd van een solide beveiligings-systeem en heeft u dus geen last van eventuele cyberaanvallen van buitenaf.
Bovendien maken de meeste hackers en cybercriminelen op deze manier geen schijn van kans. Het kost hackers zo namelijk teveel tijd en moeite om überhaupt uw website binnen te dringen.
Wij verzorgen de meest professionele bescherming van uw website zodat uzelf geen zorgen meer heeft over de veiligheid van uw gegevens.