Door een lek in de ThemeGrill Demo Importer plugin lopen ruim 72.000 WordPress websites risico. Dat meldde Security.nl in een blogpost. Er is inmiddels een update met patch uitgerold.
Over de ThemeGrill Demo Importer plugin
ThemeGrill Demo Importer is een plugin waarmee thema’s, content en widgets van ThemeGrill te gebruiken zijn. De plugin maakt het mogelijk om met één klik demo content te downloaden die speciaal is ontwikkeld voor ThemeGrill thema’s. Op die manier hoef je alleen maar de teksten en afbeeldingen te wijzigen om een complete website in elkaar te flansen.
Kwetsbaarheid
Het lek in de plugin maakt het mogelijk voor geauthentiseerde personen om zonder inloggegevens de database van de betreffende website te resetten, stellen onderzoekers van WebArx. Vervolgens wordt deze persoon standaard als administrator ingelogd. Dit kan overigens alleen als er een ThemeGrill thema actief is en als er een gebruiker in de database staat die “admin” heet. (En dat is een van de redenen dat je nooit “admin” als gebruikersnaam moet kiezen! Hoe je je WordPress gebruikersnaam veranderen moet lees je hier).
Update met patch
Het lek werd op 6 februari aan de ontwikkelaars van de plugin gerapporteerd. Zij brachten op 15 februari een beveiligingsupdate uit, versie 1.6.2. Deze update bevat een patch voor het lek. Echter maakt een groot aantal gebruikers nog steeds gebruik van een oude versie, wat betekent dat zij nog steeds kwetsbaar zijn.
Aantal kwetsbare websites
Volgens de cijfers op WordPress.org heeft ThemeGrill Demo Importer ruim 100.000 actieve installaties. Op 18 januari was de update met de patch iets meer dan 28.000 keer gedownload, wat zou betekenen dat er nog minstens 72.000 websites kwetsbaar zijn. Echter is het ook mogelijk dat het aantal kwetsbare sites nog hoger ligt. Volgens onderzoekers van WebArx is de plugin op meer dan 200.000 WordPress websites actief, en ThemeGrill zelf stelt dat hun thema’s door meer dan 300.000 websites worden gebruikt.