WordPress sluit tien onveilige plug-ins voor webwinkels

[Captain Kirk]

WordPress heeft besloten om tien plug-ins voor webwinkels die via WordPress.org werden aangeboden te sluiten, aangezien ze beveiligingslekken bevatten en er geen updates van de ontwikkelaar beschikbaar zijn. Het gaat om plug-ins van ontwikkelaar Multidots voor op WooCommerce-gebaseerde webwinkels.

WooCommerce is een zeer populair webwinkelplatform voor WordPress. Via het systeem is het mogelijk om WordPress-sites in een webshop te veranderen. Multidots ontwikkelt weer plug-ins voor WooCommerce. Het gaat onder andere om plug-ins voor het delen van content via WhatsApp en Viber, het tonen van cookiemeldingen en een teller van het aantal bezoeken. De tien onveilige plug-ins van Multidots hebben bij elkaar een kleine 20.000 installaties.

De kwetsbaarheden in de plug-ins variëren van SQL Injection tot cross-site request forgery en cross-site scripting. In het ergste geval kunnen aanvallers zo toegang tot de database van de website krijgen en die bijvoorbeeld overnemen. Securitybedrijf Threatpress ontdekte de problemen en waarschuwde Multidots op 8 mei. Aangezien de softwareontwikkelaar geen datum voor de updates noemde besloot Threatpress om WordPress te informeren, dat de tien plug-ins vorige week sloot. Webwinkels die de plug-ins hebben geïnstalleerd zijn echter nog steeds kwetsbaar, aangezien het aan beheerders van de webshops is om ze uit te schakelen.

 

 

bron: security.nl