In de afgelopen tijd is er weer het een en ander gebeurd in de WordPress (plug-in) community. In deze post lees je informatie over de plug-ins InfiniteWP Client, WP Database Reset en Code Snippets.

De volgende plug-ins zijn de laatste tijd in opspraak gekomen en vereisen je aandacht. Kijk dus meteen in je eigen site(s) of je een of meerdere van deze boosdoeners gebruikt. Lees ook de november-update, mocht je die gemist hebben.

InfiniteWP Client

Als je meerdere WordPress websites in beheer hebt, is het wel zo handig dat je die vanuit een centrale plek kan beheren. De InfiniteWP Client plug-in maakt dit mogelijk door een verbinding te leggen tussen verschillende WordPress websites. Vanuit één plek kun je dan al je websites beheren door vanuit een centrale server commando’s uit te sturen.

Dat beheren gaat via een versleutelde verbinding tussen de client site (de website die je wilt beheren) en de server site (de website die als controlekamer dient). Bij de eerste connectie tussen die twee worden de nodige sleutels geïnstalleerd.

Maar, dat betekent dus dat er minimaal 1 connectie onversleuteld plaats moet kunnen vinden: het maken van die verbinding. En daar zat nou net het probleem: die ene onbeveiligde connectie kon misbruikt worden. Hierdoor kon een hacker zichzelf als admin aanmelden zonder het wachtwoord te weten.

In versie 1.9.4.5 wordt dit probleem opgelost. Zo snel mogelijk upgraden dus!

WP Database Reset

Heb je zo veel liggen hobbyen in je website en zie je door de bomen het bos niet meer? Een reset van je database met de WP Database Reset plug-in brengt je snel weer terug aan de rand van het bos, zodat je overnieuw kunt beginnen. 

Het is wel jammer als je dan, nadat je opnieuw begonnen bent en twee maanden hard gezwoegd hebt op je prachtige nieuwe site, wéér opnieuw moet beginnen. Omdat een hacker zonder al te veel moeite diezelfde reset kan uitvoeren…

Doordat de plug-in vergat te controleren of het reset-commando daadwerkelijk van een ingelogde admin-gebruiker af kwam, was het van afstand uitvoeren van de reset mogelijk. Zelfs als je niet was ingelogd, of niet eens een gebruiker was.

Daarnaast was het voor een bestaande gebruiker mogelijk om zichzelf te verheffen tot admin-status – en alle andere gebruikers weg te gooien. Ook niet echt veilig dus.

Deze twee ernstige problemen zijn opgelost in de twee weken geleden uitgebrachte versie 3.15.

Code Snippets

WordPress biedt uit zichzelf al veel functionaliteit. Voeg daar enkele plug-ins aan toe en je komt nooit iets te kort, zou je denken. De Code Snippets plug-in maakt het mogelijk om gemakkelijk kleine stukjes herbruikbare code toe te voegen op je websites, zonder dat je daarvoor een hele extra plug-in hoeft te installeren. Ideaal voor bijvoorbeeld Google Analytics code in een footer of advertenties voor of na iedere post. 

Eigenlijk was de veiligheid van deze plug-in al prima in orde. Op één functie na: de import-tool. Helaas betekent dat wel dat via het ontbreken van de beveiliging in die functie een nieuw admin-account kan worden aangemaakt door een hacker en de website kan worden overgenomen. 

Gelukkig zat de programmeur van de plug-in, Shea Bunge, niet te slapen. Binnen een dag nadat het lek werd gemeld, kwam er een update beschikbaar.

In de op 26 januari uitgebrachte versie 2.14.0 is het lek gedicht. Kom maar door met de upgrade!

Dit artikel is geplaatst op 31 januari 2020. Het kost je ongeveer 3 minuten om het te lezen.

2020-04-28T09:43:14+01:00