6 WordPress Plugin Kwetsbaarheden Ingebroken Door Hackers
Geen enkel content management systeem (CMS) kan tippen aan WordPress in termen van populariteit. Het is een onbetwistbare kampioen in zijn niche, met een indrukwekkende 63,5 procent van CMS marktaandeel. Bovendien draait 37 procent van alle websites op internet op WordPress.
Met zijn flexibele raamwerk dat in vrijwel elke online context past – van kleine persoonlijke blogs en nieuwsoutlets tot sites van grote merken – is het geen verrassing dat dit CMS al jaren voor rimpelingen zorgt in het ecosysteem van het web.
Wat vinden cybercriminelen van deze hype-trein? Je raadt het al – ze vinden het niet erg om erop te springen. In tegenstelling tot webmasters is hun motivatie echter veel minder goedaardig.
Het positieve nieuws is dat de WordPress Core vanuit verschillende hoeken goed is beveiligd door regelmatige patches voor kwetsbaarheden. Het WordPress beveiligingsteam werkt samen met betrouwbare onderzoekers en hostingbedrijven om direct te kunnen reageren op opkomende bedreigingen. Om de verdediging op te voeren zonder te vertrouwen op de updatehygiëne van site-eigenaren, pusht WordPress geautomatiseerde achtergrondupdates sinds versie 3.7, die in 2013 is uitgebracht.
Het slechte nieuws is dat plug-ins van derden een gemakkelijke prooi kunnen zijn voor kwaadwillenden. Het is geen verrassing dat plugins met veel actieve installaties een grotere aantrekkingskracht hebben. Door ze uit te buiten, kunnen deze actoren een kortere weg nemen en het potentiële aanvalsoppervlak aanzienlijk vergroten.
De mazen die onlangs zijn gevonden in populaire WordPress plugins lopen uiteen van bugs voor uitvoering op afstand en privilege-escalatie tot cross-site request forgery en cross-site scripting fouten.
Meer van onze deskundige medewerkersEr zijn 5 basistypen van ondernemers. Welke ben jij?
File Manager
In het begin van september stuitten onderzoekers van de Finse webhosting provider Seravo op een veiligheidslek in File Manager, een WordPress plugin die op minstens 600.000 sites is geïnstalleerd. Deze kritieke bug, gecategoriseerd als een zero-day kwetsbaarheid voor het op afstand uitvoeren van code, stelde een niet-geauthenticeerde tegenstander in staat om toegang te krijgen tot het beheergebied, kwaadaardige code uit te voeren en dodelijke scripts te uploaden op elke WordPress-site met File Manager-versies tussen 6.0 en 6.8.
De verdienste van de maker van de plugin is dat een gepatchte versie (File Manager 6.9) werd vrijgegeven enkele uren nadat beveiligingsanalisten deze kwetsbaarheid hadden gemeld. Volgens de File Manager actieve versies statistieken, wordt deze versie echter op dit moment gebruikt op slechts 52,3 procent van de WordPress sites die de plugin gebruiken. Dit betekent dat meer dan 300.000 sites nog steeds vatbaar zijn voor compromittering omdat hun eigenaars de plugin traag updaten naar de laatste gepatchte versie.
Toen witte hoeden deze fout ontdekten, werd deze al misbruikt in echte aanvallen die schadelijke PHP-bestanden probeerden te uploaden naar de “wp-content/plugins/wp-file-manager/lib/files/” directory op onbeveiligde websites. Op het moment van dit schrijven zijn meer dan 2,6 miljoen WordPress-instanties onderzocht op verouderde bestandsbeheerversies.
Bovendien lijken verschillende cybercriminele bendes oorlog te voeren om websites die laaghangend fruit blijven. Een van de elementen van deze rivaliteit komt neer op het specificeren van een wachtwoord voor toegang tot het plugin-bestand met de naam “connector.minimal.php”, dat een primair lanceerplatform is voor het op afstand uitvoeren van code in ongepatchte File Manager-iteraties.
Met andere woorden, zodra bedreigingsactoren een eerste voet aan de grond krijgen in een kwetsbare WordPress-installatie, blokkeren ze de exploiteerbare component voor gebruik door andere criminelen die mogelijk ook backdoor-toegang tot dezelfde site hebben. Nu we het daar toch over hebben, analisten hebben pogingen om websites te hacken via een File Manager plugin bug waargenomen vanaf maar liefst 370.000 verschillende IP-adressen.
Page Builder
De Page Builder WordPress plugin van SiteOrigin heeft meer dan een miljoen installaties. Begin mei deed beveiligingsdienstverlener Wordfence een verontrustende ontdekking: Deze enorm populaire WordPress-component is vatbaar voor een reeks cross-site request forgery (CSRF) kwetsbaarheden die kunnen worden bewapend om verhoogde privileges in een site te krijgen.
De buggy-functies van de plugin, “Live Editor” en “builder_content,” stellen een kwaadwillende in staat om een nieuwe beheerdersaccount te registreren of een achterdeur te openen om naar believen toegang te krijgen tot een kwetsbare site. Als een hacker competent genoeg is, kan hij gebruik maken van deze kwetsbaarheid om een site over te nemen.
SiteOrigin rolde een fix uit binnen een dag na te zijn geattendeerd op deze gebreken. Het probleem zal zich echter over de hele linie blijven manifesteren totdat webmasters de patch toepassen – helaas kost dit meestal nogal wat tijd.
GDPR Cookie Consent
Deze plugin is een van de zwaargewichten in het WordPress-ecosysteem en wordt geïnstalleerd en actief gebruikt op meer dan 800.000 sites. Het stelt webmasters in staat om te voldoen aan de General Data Protection Regulation (GDPR) van de Europese Unie door middel van aanpasbare cookiebeleidmeldingen.
In januari jl. ontdekten beveiligingsexperts dat GDPR Cookie Consent versie 1.8.2 en eerder werden blootgesteld aan een ernstige kwetsbaarheid die slechte actoren in staat stelde om cross-site scripting (XSS) en privilege-escalatie aanvallen uit te voeren.
De bug baant een hacker de weg naar het wijzigen, plaatsen of verwijderen van alle inhoud op een exploiteerbare WordPress-website, zelfs met abonnee-permissies. Een ander nadelig scenario komt neer op het injecteren van schadelijke JavaScript code die omleidingen kan veroorzaken of ongewenste advertenties kan tonen aan bezoekers. Het goede nieuws is dat de ontwikkelaar, WebToffee, een gepatchte versie heeft vrijgegeven op 10 februari.
Duplicator
Met meer dan een miljoen actieve installaties en een totaal van 20 miljoen downloads, staat Duplicator op de lijst van de top 100 WordPress plugins. De primaire functie is het migreren of klonen van een WordPress site van de ene locatie naar de andere. Plus, het stelt site-eigenaren in staat om gemakkelijk en veilig een back-up te maken van hun inhoud.
In februari hebben Wordfence beveiligingsanalisten een fout ontdekt die een dader in staat stelde om willekeurige bestanden te downloaden van sites die Duplicator versie 1.3.26 en ouder draaien. Een aanvaller kon bijvoorbeeld op deze bug meeliften om de inhoud van het bestand “wp-config.php” te downloaden, dat onder andere de beheerdersgegevens van de site bevat. Gelukkig werd de fout twee dagen nadat de kwetsbaarheid aan de leverancier was gemeld gepatcht.
Site Kit by Google
Een ernstige fout in Site Kit by Google, een plugin die actief wordt gebruikt op meer dan 700.000 sites, stelt een aanvaller in staat om de bijbehorende Google Search Console over te nemen en de online aanwezigheid van de site te verstoren. Door het verkrijgen van ongeautoriseerde eigenaarstoegang via deze zwakte, kan een kwaadwillende acteur sitemaps wijzigen, pagina’s uit de Google Search resultaten verwijderen, schadelijke code injecteren en black hat SEO fraudes orkestreren.
Eén van de facetten van deze zwakte is dat de plugin een grove implantatie van de gebruikersrol controles heeft. Om het af te maken, het bloot de URL gebruikt door Site Kit om te communiceren met Google Search Console. In combinatie kunnen deze onvolkomenheden aanvallen voeden die leiden tot privilege-escalatie en de hierboven genoemde scenario’s.
De kwetsbaarheid werd gespot door Wordfence op 21 april. Hoewel de auteur van de plugin op 7 mei een bijgewerkte versie (Site Kit 1.8.0) heeft uitgebracht, is deze momenteel geïnstalleerd op slechts 12,9 procent (ongeveer 90.000) van de WordPress-sites waarop Site Kit wordt uitgevoerd. Daarom moeten honderdduizenden site-eigenaren het nog toepassen om veilig te blijven.
InfiniteWP Client
Deze plugin heeft niet voor niets meer dan 300.000 actieve installaties: het stelt site-eigenaren in staat om meerdere sites vanaf hun eigen server te beheren. Een keerzijde van deze voordelen is dat een tegenstander in staat kan zijn om authenticatie te omzeilen via een kritieke fout die in januari door WebARX is ontdekt.
Om een dergelijke aanval in gang te zetten, zou een hacker buggy InfiniteWP Client-functies genaamd “add_site” en “readd_site” kunnen misbruiken. Omdat deze entiteiten niet over de juiste authenticatiecontroles beschikten, kon een aanvaller een speciaal aangepaste Base64-gecodeerde payload gebruiken om in te loggen op een WordPress admin dashboard zonder een geldig wachtwoord te hoeven invoeren. De gebruikersnaam van de beheerder was voldoende om toegang te krijgen. De volgende dag na de ontdekking van het lek kwam er al een update die het lek verhelpt.
What to Do About It
Plugins breiden de functionaliteit van een WordPress site uit, maar ze kunnen een gemengde zegen zijn. Zelfs de populairste WordPress plugins kunnen onvolkomenheden bevatten die verschillende vormen van vals spel mogelijk maken, wat kan leiden tot site-overname en gegevensdiefstal.
Het goede nieuws is dat plugin-auteurs snel op deze zwakheden reageren en patches uitrollen. Deze updates zijn echter zinloos tenzij site-eigenaren hun huiswerk doen en veilige praktijken volgen.
De volgende tips zullen u helpen voorkomen dat uw WordPress-site laaghangend fruit wordt:
- Pas updates toe. Dit is de fundamentele tegenmaatregel voor WordPress hacks. Zorg ervoor dat uw site de laatste versie van de WordPress Core gebruikt. Net zo belangrijk is het om updates voor uw plugins en thema’s te installeren zodra deze zijn uitgebracht.
- Gebruik sterke wachtwoorden. Geef een wachtwoord op dat er zo willekeurig mogelijk uitziet en uit ten minste 10 tekens bestaat. Voeg speciale tekens toe om de lat hoger te leggen voor aanvallers die uw verificatiegegevens proberen te kraken.
- Volg het principe van de minste privileges. Geef geautoriseerde gebruikers niet meer rechten dan ze nodig hebben. De rollen van beheerder of redacteur kunnen voor sommige gebruikers overbodig zijn.
- Beperk de directe toegang tot PHP-bestanden. Hackers kunnen speciaal aangemaakte HTTP- of GET/POST-verzoeken naar PHP-componenten van uw plugins en thema’s sturen om verificatie- en invoervalidatiemechanismen te omzeilen. Om deze aanvallen te voorkomen, dient u regels op te stellen die een foutpagina activeren wanneer dergelijke pogingen worden ondernomen.
- Inactieve gebruikers verwijderen. Bekijk de lijst met gebruikers die op uw site zijn geregistreerd en verwijder slapende accounts.
- Schakel het opsommen van gebruikers uit. Als u wilt voorkomen dat aanvallers de lijst met gebruikers van uw site bekijken en proberen misbruik te maken van de fouten in de configuratie, gaat u naar het .htaccess-bestand en schakelt u daar de functie voor het opsommen van gebruikers uit.
- Voeg een beveiligingsplugin toe. Zorg ervoor dat de plugin is voorzien van een firewall voor webtoepassingen (WAF) die verdacht verkeer controleert en gerichte aanvallen blokkeert door gebruik te maken van bekende en ‘zero-day’-kwetsbaarheden.