Opgelicht?! opgelicht-logo

meer NPO start
Opgelicht?!
  • Ernstige beveiligingslekken in populaire WordPress-plugins

    Ernstige beveiligingslekken in populaire WordPress-plugins

    In een negental populaire plug-ins voor contentmanagementsysteem WordPress zijn ernstige gebreken geconstateerd op het gebied van beveiliging. Hierdoor kunnen kwaadwillenden de controle over websites die met WordPress zijn gebouwd volledig overnemen. Deze plug-ins zijn gezamenlijk goed voor ruim anderhalf miljoen actieve installaties, en op een schaal van 1 tot 10 wat betreft de ernst en de potentiële impact van deze gebreken zijn de manco's zonder uitzondering met een 9 beoordeeld.

    Het gaat volgens security.nl om kwetsbaarheden op het vlak van 'SQL-injection', een techniek die veel door hackers wordt misbruikt om in de database van een website allerlei opdrachten uit te voeren die eigenlijk niet uitgevoerd zouden mogen worden of om gegevens in te zien waar ze niet bij zouden moeten kunnen. Op die manier maken hackers geregeld wachtwoorden en andere gevoelige data buit. SQL is een standaard programmeertaal en staat voor 'Structured Query Language' en wordt gebruikt om bijvoorbeeld gegevens in een database op te vragen of juist te wijzigen, maar als deze code niet goed is opgebouwd door de programmeur wordt deze kwetsbaar voor kwaadaardige code. 

    De beveiligingslekken werden ontdekt door securitybedrijf Fortinet. Tim Duong is werkzaam bij het bedrijf en zegt: 'Het interessante is dat acht van de negen beveiligingslekken via hetzelfde eenvoudige codepatroon zijn gevonden waardoor ze kwetsbaar voor SQL-injection waren. Ondanks de mogelijkheid tot misbruik kan het filteren van gebruikersinvoer veel ontwikkelaars gewoon niets schelen'. Hoewel dit geen nieuwe techniek is, stelt Duong verder dat 'SQL-injection altijd een serieuze beveiligingsdreiging vormt voor webapplicaties en webservers. Om het te voorkomen zouden ontwikkelaars altijd programmeerstandaarden en best practices voor veilig programmeren moeten volgen.'

    Gebruikers updaten plug-ins niet op tijd

    De ontwikkelaars van de betreffende plug-ins zijn door Fortinet gewaarschuwd en hebben de nodige beveiligingsupdates uitgebracht, maar dan moeten gebruikers deze updates wel daadwerkelijk toepassen. In de praktijk blijkt dat dit niet altijd gebeurt.

    Belangrijke plug-ins waar de kwetsbaarheden in zijn geconstateerd:

    • NextGEN Gallery (900.000 keer geïnstalleerd)
    • Photo Gallery (300.000 keer geïnstalleerd)
    • Popup Builder (100.000 keer geïnstalleerd)

    Bron: Security.nl / Fortinet

  • Ook interessant