WordPress sites gehackt via lek in GDPR Compliance plugin

WordPress sites gehackt via lek in GDPR Compliance plugin

Een onbekend aantal WordPress-sites is gehackt via een kwetsbaarheid in de GDPR Compliance plugin. Dat heeft security bedrijf Wordfence afgelopen week laten weten. De plugin, die ontwikkeld werd door het in Amsterdam gevestigde WordPress bureau Van Ons, helpt eigenaren van een WordPress webshop of website bij het naleven van de AVG (de nieuwe Europese privacywetgeving).

GDPR Compliance plugin

De plugin was al door meer dan 100.000 WordPress websites geïnstalleerd toen er berichten opdoken dat er mogelijk een kwetsbaarheid in de plugin zat. Het bleek om een kwetsbaarheid te gaan waarbij een geauthentiseerde aanvaller admin accounts en backdoors toe kan voegen. Aanvallers kunnen de users_can_register optie op 1 zetten en de default_role van nieuwe gebruikers op ‘administrator’ zetten. Ze hoeven dan alleen nog maar het formulier op /wp-login.php?action=register in te vullen en krijgen dan direct toegang tot een geprivilegieerde account. Vanaf dat punt kunnen ze de instellingen weer terugzetten naar hoe ze eerst stonden om geen argwaan op te wekken, en een kwaadaardige plugin met malware installeren om de betreffende website verder te infecteren.

De kwetsbaarheid werd op 6 november gerapporteerd. Een dag later werd de plugin van WordPress.org verwijderd. Dezelfde dag nog werd versie 1.4.3 uitgebracht; deze update bevat een patch voor het beveiligingslek.

Nog steeds misbruik

De update mag het lek dan dichten, aanvallers maken nog steeds misbruik van de kwetsbaarheid. Dit kunnen ze doen als ze WordPress websites tegenkomen die nog een oude versie van de plugin draaien. Van Ons zei een verzoek te hebben ingediend bij WordPress om een geforceerde update door te voeren, maar dit bleek geen optie te zijn in dit geval. WordPress gebruikers die de GDPR Compliance plugin op hun website draaien, krijgen dan ook het dringende advies om zo snel mogelijk naar versie 1.4.3 te updaten. Ook wordt aangeraden om te controleren of er geen onbekende admin accounts zijn aangemaakt. Mogelijk is er bij sommige gecompromitteerde websites gebruik gemaakt van WP-Cron om een backdoor te installeren. Het schijnt dat die backdoor zichzelf kan vervangen wanneer hij verwijderd wordt.

 

Wil jij meer leren over Wordpress?

In de kennisbank vertellen we je alles over de belangrijkste onderwerpen

  • Snel en gemakkelijk contact met een WordPress expert
  • Ontvang als eerste nieuwtjes & leuke acties
  • Overleg met andere WordPress fans

Je WordPress vraag of probleem razendsnel opgelost met de hulp van een echte WordPress developer!

Join de grootste WordPress community van Nederland & stel je vraag via ons WordPress ticketsysteem.

Medaille-buddy

Blijf op de hoogte van het laatste WordPress nieuws.

Schrijf je in voor onze wekelijkse nieuwsbrief.