WordPress updatet populaire plug-in op 1 miljoen websites wegens kritiek lek

[Captain Kirk]

WordPress heeft een populaire plug-in wegens een kritieke kwetsbaarheid bij zo'n 1 miljoen websites geüpdatet. Sommige gebruikers waren echter niet blij met de automatische update, aangezien ze deze optie niet hadden ingeschakeld. De kwetsbaarheid bevond zich in Loginizer. Via deze plug-in kunnen WordPress-sites bruteforce-aanvallen blokkeren.

Na een aantal mislukte inlogpogingen wordt het ip-adres van de gebruiker op een blacklist geplaatst. Verder biedt de plug-in de mogelijkheid om andere beveiligingsopties voor de website in te stellen, zoals tweefactorauthenticatie, captcha's of een "wachtwoordloze login". Loginizer is op meer dan 1 miljoen WordPress-websites geïnstalleerd.

De bescherming tegen bruteforce-aanvallen was ook het onderdeel dat de kwetsbaarheid veroorzaakte. Wanneer een gebruiker met een onbekende gebruikersnaam inlogt wordt de poging in de back-enddatabase opgeslagen. De gebruikersnaam alsmede andere parameters werden echter niet goed gecontroleerd voordat die via een SQL-query aan de database werden toegevoegd. Zo was SQL-injection mogelijk waardoor een aanvaller de website had kunnen overnemen.

Op 16 oktober verscheen er een nieuwe versie van de plug-in die het beveiligingslek verhelpt. In eerste instantie koos de ontwikkelaar ervoor om in de release notes geen details over de kwetsbaarheid te geven, zodat gebruikers de tijd kregen om te updaten. Om het updateproces te versnellen besloot WordPress die automatisch onder websites uit te rollen, ook bij websites waar het automatisch updaten niet stond ingeschakeld. Iets wat bij sommige gebruikers voor kritiek zorgde.

Volgens de ontwikkelaar van de Loginizer heeft WordPress de update uitgerold omdat het om een beveiligingsupdate gaat. WordPress heeft sinds WordPress versie 3.7 de mogelijkheid om kwetsbaarheden in plug-ins via automatische updates te verhelpen. "En we hebben het al vele keren wegens beveiligingslekken in plug-ins gebruikt", zegt Samuel Wood van het WordPress-team. Door de actie van WordPress beschikt inmiddels 89 procent van de websites over een bijgewerkte plug-in. Op de statistiekenpagina van de plug-in staat dat die de afgelopen week meer dan 1,2 miljoen keer is gedownload.

 

bron: security.nl