- Door
- Jeroen Mulder
- geplaatst op
- 25 februari 2015 11:35 uur
Weer grote problemen met een WordPress-plugin, deze keer met een serieus lek in de analysetool WP-Slimstat. Sucuri.com maakte het lek begin deze week via haar blog wereldkundig. Beheerders van WordPress-sites worden dringend geadviseerd om Slimstat 3.9.6 te installeren. Hosters van deze sites – WordPress is een van populairste contentmanagementsystemen – doen er goed aan om hun klanten op het veiligheidsrisico te wijzen: potentieel kunnen hackers hele sites overnemen.
Het lek zelf is overigens van beschamende eenvoud. Bij de installatie van de plugin in WordPress wordt een key gegenereerd. De waarde van die sleutel wordt bepaald door de datum waarop de installatie wordt gedaan. Wie via Internet Archive de datum achterhaalt waarop de plugin is geïnstalleerd, kan de sleutel binnen luttele minuten ‘kraken’. Daarna is het mogelijk om met SQL-injectie onder meer logingegevens van bezoekers te bemachtigen of zelfs hele sites over te nemen.
Het is bepaald niet voor het eerst dat WordPress-plugins voor serieuze securityrisico’s zorgen. Mailpoet, een plugin voor nieuwsbrieven, zorgde vorig jaar voor aanzienlijke risico’s omdat de software het mogelijk maakte PHP-bestanden te uploaden naar de hostserver. Een andere populaire plugin, Customer Contact Form, maakte het in de zomer van vorig jaar mogelijk om zonder enige vorm van authenticatie databases van afstand te wijzigen. Ook dat lek werd ontdekt door Sucuri.