WordPress-plugin Ninja Forms krijgt geforceerde update

WordPress-logo op een smartphone met blauwgekleurde achtergrond

De populaire WordPress-plugin Ninja Forms heeft een beveiligingsupdate gekregen. Onderzoekers ontdekten een kwetsbaarheid die dermate ernstig was dat WordPress een geforceerde update heeft uitgevoerd. Websites die op het content management systeem draaien en deze plugin niet handmatig hadden geüpdatet, hoeven zich geen zorgen te maken.

Dat schrijft Wordfence, een cybersecuritybedrijf dat wel vaker problemen bij veelgebruikte WordPress-plugins aan het licht bracht.

WordPress in een notendop

WordPress is een van de populairste content management systemen (cms) ter wereld. Dat komt doordat je geen technische kennis of programmeerervaring nodig hebt om een eigen te bouwen. In de begindagen werd het cms voornamelijk gebruikt door bloggers. Vandaag de dag zijn de toepassingsmogelijkheden ongekend. Naar schatting draaien wereldwijd meer dan 75 miljoen websites op WordPress.

Een andere reden waarom WordPress zo populair is onder websitebouwers, is dat het kinderlijk eenvoudig is om een site extra functionaliteit te geven. Het enige dat je daarvoor hoeft te doen, is een plugin te installeren. Een gastenboek, slider of forum toevoegen is dankzij plugins kinderspel.

Onderzoekers vinden zeer gevaarlijke exploit in Ninja Forms

Het installeren van plugins is echter niet geheel zonder risico’s. Als deze niet goed wordt onderhouden door de ontwikkelaar, krijg je mogelijk te maken met beveiligingslekken op je website. Dat is precies wat het geval is bij Ninja Forms, een plugin waarmee je in een handomdraai een contactformulier aan je site toevoegt. Meer dan één miljoen sites werken met deze plugin.

Beveiligingsonderzoekers van Wordfence ontdekten dat het door een kwetsbaarheid in deze plugin mogelijk was om arbitraire code uit te voeren, of willekeurige bestanden te verwijderen. Wat deze exploit extra gevaarlijk maakt, is dat je geen inloggegevens nodig hebt om er misbruik van te maken.

WordPress rolt geforceerde update uit

Details over de kwetsbaarheid geeft het beveiligingsbedrijf niet. Wel merkt ze op dat er aanwijzingen zijn dat de exploit actief werd misbruikt. WordPress heeft websites die Ninja Forms gebruiken geforceerd om de beveiligingsupdate te installeren die de kwetsbaarheid verhelpt. “Desalniettemin adviseren wij u om ervoor te zorgen dat uw site zo snel mogelijk is bijgewerkt naar een van de gepatchte versies, aangezien automatische updates niet altijd succesvol zijn”, zo waarschuwt Wordfence.

Om er zeker van te zijn dat de kwetsbaarheid is gedicht, moet je versie 3.0.34.2, 3.1.10, 3.2.28, 3.3.21.4, 3.4.34.2, 3.5.8.4 of 3.6.11 hebben geïnstalleerd. Wordfence eindigt zijn blog met de volgende waarschuwing:

“Als je een vriend of collega kent die deze plugin op zijn site gebruikt, raden we je ten zeerste aan om deze waarschuwing naar hen door te sturen om hun sites te helpen beschermen, aangezien dit een ernstige kwetsbaarheid is die kan leiden tot een volledige overname van de site.”

Kabinet: ‘WordPress veilig om te gebruiken’

Ninja Forms is niet de enige WordPress-plugin die de afgelopen maanden is getroffen door een ernstige kwetsbaarheid. Hetzelfde overkwam Elementor eerder dit jaar, een zogeheten page builder plugin. Onderzoekers ontdekten een uiterst gevaarlijke exploit waardoor het mogelijk was om op afstand een willekeurige PHP-code te uploaden en uitvoeren. Daarmee was het in theorie mogelijk om een website van afstand over te nemen. In versie 3.6.3 werd dit euvel verholpen.

Omdat WordPress met een inlogpagina werkt die voor iedereen toegankelijk is, waarschuwde dagblad Trouw afgelopen jaar dat websites van diverse overheidsdiensten “een extra groot risico” liepen om gehackt te worden. Toenmalig staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties Raymond Knops stelde de Tweede Kamer gerust door te beloven dat overheidsinstanties WordPress met een gerust gevoel konden gebruiken. “Ik zie geen bezwaar tegen het gebruik van individuele softwarepakketten, zoals WordPress, als risicoafwegingen zijn gemaakt en maatregelen zijn getroffen”, aldus Knops in een brief aan de Tweede Kamer.

Techredacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. Meer over Anton.
Plaats een reactie
Een reactie plaatsen