WordPress-logo op een smartphone die op een laptop ligt

WordPress updatet populaire plugin vanwege kritieke beveiligingsproblemen

Laatst bijgewerkt: 19 november 2020
Leestijd: 3 minuten, 5 seconden

WordPress heeft een automatische update doorgevoerd op websites die gebruikmaken van Loginizer. De populaire plugin, die door meer dan één miljoen websites wordt gebruikt om brute force aanvallen tegen te houden, bevatte twee gevaarlijke lekken. Hierdoor was het voor hackers mogelijk om toegang te krijgen tot de database van een site.

Dat schrijft de ontwikkelaar in een blog. Via een bericht op een ondersteuningspagina bevestigt WordPress dat het lek is gedicht door een automatisch update.

Dit is WordPress in een notendop

WordPress is een content management systeem of CMS dat populair is onder websitebouwers. Je hebt niet veel technische kennis nodig om je eigen, professioneel ogende website te bouwen. In de begindagen werd WordPress veelal gebruikt om een weblog te lanceren. Vandaag de dag zijn de toepassingsmogelijkheden vrijwel ongekend. Of je nou je portfolio online wil zetten of een nieuwsportaal lanceren, het kan allemaal met WordPress. Naar schatting draaien 75 miljoen websites wereldwijd op WordPress.

Om een nieuwe functionaliteit in te bouwen in je website, vertrouw je op plugins. Dat is een tool of hulpmiddel waarmee je in een handomdraai een gastenboek, galerij, slider, forum of andere onderdeel toevoegt aan je site. Voor ieder doeleinde bestaat er wel een plugin. In totaal zijn er meer dan 60.000 verschillende plugins.

Loginizer beschermt je website tegen brute force aanvallen

Eén van die plugins die je kunt installeren op je website, is Loginizer. Het is een plugin die je site beschermt tegen brute force aanvallen. Bij een brute force aanval probeert een hacker via een geautomatiseerd programma onnoemlijk veel verschillende gebruikersnaam en wachtwoordcombinaties in te voeren, net zolang totdat hij toegang heeft.

Loginizer blokkeert na drie mislukte pogingen een kwartier lang het IP-adres van waaruit een hacker probeert in te loggen. Na meerdere lockouts wordt het IP-adres 24 uur lang geblokkeerd. Het is uiteraard mogelijk om deze standaardinstellingen te veranderen. Met de plugin kun je tevens andere beveiligingsopties instellen, zoals tweefactorauthenticatie, reCAPTCHA en wachtwoordloze logins.

Loginizer is een populaire plugin onder WordPress-gebruikers. Volgens de ontwikkelaar is de plugin op meer dan één miljoen websites te vinden.

WordPress kiest voor automatische update om beveiligingsprobleem sneller op te lossen

De grootste kracht van Loginizer is tevens zijn achilleshiel. Wanneer iemand met een onbekende gebruikersnaam inlogt, wordt deze poging opgeslagen in de back-end database. De gebruikersnaam en andere parameters werden echter niet goed gecontroleerd voordat deze via een SQL-query aan de database werden toegevoegd. Volgens de ontwikkelaar kwamen hierdoor twee beveiligingslekken aan het licht: een SQL-injectie en cross site scripting.

Beide beveiligingsproblemen werden verholpen met een beveiligingspatch. Deze werd op vrijdag 16 oktober uitgerold. Website-eigenaren kunnen sindsdien Loginizer updaten. Velen van hen deden dat netjes, maar in de ogen van WordPress ging het niet snel genoeg. Daarop besloot het CMS om gebruikers een handje te helpen door een automatische update uit te voeren.

Niet iedereen was daarover te spreken. Op een ondersteuningspagina trokken diverse gebruikers aan de bel. Een WordPress-moderator reageerde op de kwestie met de mededeling dat WordPress automatische updates voor plugins kan inschakelen als het gaat om beveiligingsproblemen. “Deze mogelijkheid bestaat sinds WordPress versie 3.7 en is sindsdien meerdere keren gebruikt”, aldus de moderator.

Volgens de laatste berichten is 89 procent van de websites die Loginizer gebruikt geüpdatet.

Zero-day exploit in andere Populaire WordPress-plugin

Begin september bleek dat ruim 1,7 miljoen WordPress-websites kwetsbaar waren als gevolg van een zero-day exploit van de plugin File Manager. Door het beveiligingslek konden hackers kwaadaardige bestanden uploaden naar de back-end van een website. Op deze manier is het mogelijk om een site over te nemen en de eigenaar uit te sluiten. Om weer toegang te krijgen tot zijn site, moet de eigenaar de dader losgeld betalen. Het is een methode die in het verleden veel slachtoffers heeft gemaakt.

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. 

Meer artikelen uit het ‘Nieuws’ dossier

Reacties
Plaats een reactie
Een reactie plaatsen