Hoe wij WordPress plugin hacks ontdekten & openbaar maakten

Dagelijks worden tientallen applicaties, websites en WordPress plugin kwetsbaarheden openbaar gemaakt. Het openbaar maken is handig voor ontwikkelaars, maar ook hackers maken er gebruik van.

Het belang van updates

Daarom is het nog steeds belangrijk om regelmatig te blijven updaten. Of het nu je Windows installatie is, of een WordPress website. Regelmatige updates en onderhoud zijn van belang voor de beveiliging van jouw software en hardware.

Wordfence, een bedrijf dat een WordPress beveiligingsplugin ontwikkelt, vroeg 1.000 WordPress gebruikers een aantal vragen over hun WordPress beveiliging. Daar kwamen een aantal interessante punten in naar voren.

Plugins zorgen voor de meeste problemen

Wat blijkt, meer dan 50% van de hacks kwam via een WordPress plugin. Op nummer 2 en 3 volgden brute force aanvallen en WordPress Core kwetsbaarheden.

Een aantal tips voor het veilig gebruik van plugins:

  • Laat je plugins regelmatig updaten. Doe het zelf, of laat het door iemand doen die er verstand van heeft.
  • Gebruik alleen actief onderhouden plugins. Gebruik geen plugins die niet langer onderhouden worden door de ontwikkelaar.
  • Download alleen plugins van bekende websites. De WordPress repository is de beste plek. Download je ze ergens anders? Zorg dan dat je een paar checks doet:
    • Lijkt het bedrijf dat de plugin ontwikkeld heeft betrouwbaar?
    • Google op de domeinnaam van het bedrijf. Als er veel klachten naar voren komen, is dat vaak geen goed teken.
    • Staat de plugin in een database met kwetsbaarheden zoals WPVulnDB?
    • De makkelijkste tip: Don’t be stupid

 

© Copyright Wordfence

 

Hoe wij WordPress plugins hackten

Om onze eigen skills te testen en tegelijkertijd de WordPress community een beetje te helpen, testen wij zo nu en dan verschillende plugins. We gaan de plugin dan eigenlijk binnenstebuiten keren om kwetsbaarheden te ontdekken.

Een XSS* kwetsbaarheid in WordPress Videos on Admin Dashboard

In een WordPress plugin uit de WordPress repository ontdekten wij een XSS kwetsbaarheid. Een ingelogde gebruiker kon zomaar kwaadwillende code achterlaten. Elke gebruiker die vervolgens in de achterkant van WordPress kwam, werd blootgesteld aan deze code.

We hebben de auteur van de plugin op de hoogte gesteld van de kwetsbaarheid. Gelukkig loste hij het probleem snel op en kunnen gebruikers de plugin updaten om er niet langer aan blootgesteld te worden.

Je kan de registratie in de WordPress Vulnerability Database hier inzien: https://wpvulndb.com/vulnerabilities/10019

*XSS is een beetje een technische term, maar het staat in de top 10 van meest voorkomende kwetsbaarheden. Via XSS kan een kwaadwillende hacker code uitvoeren op de website. Zo kan de hacker er bijvoorbeeld voor zorgen dat je naar een nep website wordt doorgestuurd. Jij denkt dat je op jouw eigen website inlogt, maar bij het intypen van jouw gegevens, verstuur je je gebruikersnaam en wachtwoord ongewild naar de hacker.

 

Een voorbeeld video van de hack.

 

Wat we doen om jouw website veilig te houden

Om jouw WordPress website veilig te houden, doen we een aantal dingen:

  • Ten eerste maken we zo min mogelijk gebruik van standaard plugins. We maken het liefst onze plugins zelf. Soms is het budget er niet naar om een maatwerk oplossing te kiezen, in dat geval kiezen we alleen plugins die we vertrouwen.
  • We scannen alle plugins die we niet zelf geschreven hebben om er zeker van te zijn dat de codebase en de ontwikkelaar betrouwbaar is.
  • We installeren altijd een beveiligingsplugin op jouw website. Deze zorgt voor een extra laag van beveiliging. Met name het WordPress login-scherm is een plek waar veel hackers proberen binnen te komen. Deze wordt altijd extra zichtbaar en onzichtbaar beveiligd.
  • We ontvangen dagelijkse e-mails met nieuwe kwetsbaarheden in de WordPress Core en/of plugins.
  • We volgen diverse blogs op het gebied van online veiligheid.
  • Onze hostingpartij regelt het onderhoud van onze servers. Zo is ook de hardware up-to-date en zo veilig mogelijk.
  • We hanteren een strikt wachtwoord beleid. Geen enkel wachtwoord is gelijk en de belangrijkste wachtwoorden wijzigen wij regelmatig.
  • Zoals hier boven beschreven houden we onze skills up-to-date, door zo nu en dan zelf even als ethische hackers aan de slag te gaan.

Zo ben jij verzekerd van een veilige omgeving voor jouw gegevens. Heb je hier meer vragen over? Of wil je graag dat wij jouw website onderhouden? Stuur dan even een mailtje of bel ons!