Heb je een WordPress-website voor jezelf of je bedrijf? Let dan op: vier lekken in vier verschillende WordPressplug-ins zijn onlangs gebruikt om websites over te nemen en van kwaadaardige code voorzien. Dat meldt Security.nl.

Voor twee van de vier plug-ins zijn volgens de site inmiddels beveiligingsupdates verschenen, maar voor de overige twee plug-ins is het wachten op een patch.

Eén van de plug-ins is 'Flexible Checkout Fields for WooCommerce', waarvan volgens Security.nl meer dan 20.000 sites gebruikmaken. WooCommerce is een populaire plug-in voor webshops die op WordPress gebaseerd zijn. Afgelopen dinsdag verscheen hiervoor een update. Die zou het lek moeten dichten.

Ook voor 'Async JavaScript' is een patch uitgekomen; dat was op donderdag. Deze plug-in is actief op meer dan 100.000 websites.

De twee plug-ins waarvoor op het moment van schrijven nog geen update beschikbaar is, zijn 'Modern Events Calendar Lite' en '10Web Map Builder for Google Maps', die draaien op samen meer dan 60.000 websites.

Binnen via een achterdeurtje

Dankzij de lekken kan een kwaadwillende een WordPressbeheerder toevoegen aan de betreffende site, en zo malafide plug-ins met met backdoors installeren. Een backdoor is een soort achterdeurtje dat bijvoorbeeld hackers kunnen gebruiken om een (computer)systeem binnen te dringen. Vervolgens kunnen die kwaadaardige code aan de site toevoegen, die bezoekers naar malafide websites doorstuurt, aldus Security.nl.

Lees meer over de gevaren op Security.nl

Hoe weet je welke plug-ins je gebruikt?

Als je niet weet welke plug-ins je op de WordPresswebsite hebt, dan kun je de url van je site invoeren in deze tool. Die vertelt je vervolgens welke thema de site heeft (het vormgevingspakket) en welke plug-ins het detecteert.

Uitschakelen

Het advies aan WordPressbeheerders die gebruikmaken van 'Modern Events Calendar Lite' en / of '10Web Map Builder for Google Maps' krijgen dan ook het advies om die voorlopig uit te schakelen.

Bron: Security.nl