Lek in ThemeGrill Demo Importer plugin

Lek in ThemeGrill Demo Importer plugin

Door een lek in de ThemeGrill Demo Importer plugin lopen ruim 72.000 WordPress websites risico. Dat meldde Security.nl in een blogpost. Er is inmiddels een update met patch uitgerold.

Over de ThemeGrill Demo Importer plugin

ThemeGrill Demo Importer is een plugin waarmee thema’s, content en widgets van ThemeGrill te gebruiken zijn. De plugin maakt het mogelijk om met één klik demo content te downloaden die speciaal is ontwikkeld voor ThemeGrill thema’s. Op die manier hoef je alleen maar de teksten en afbeeldingen te wijzigen om een complete website in elkaar te flansen.

Kwetsbaarheid

Het lek in de plugin maakt het mogelijk voor geauthentiseerde personen om zonder inloggegevens de database van de betreffende website te resetten, stellen onderzoekers van WebArx. Vervolgens wordt deze persoon standaard als administrator ingelogd. Dit kan overigens alleen als er een ThemeGrill thema actief is en als er een gebruiker in de database staat die “admin” heet. (En dat is een van de redenen dat je nooit “admin” als gebruikersnaam moet kiezen! Hoe je je WordPress gebruikersnaam veranderen moet lees je hier).

Update met patch

Het lek werd op 6 februari aan de ontwikkelaars van de plugin gerapporteerd. Zij brachten op 15 februari een beveiligingsupdate uit, versie 1.6.2. Deze update bevat een patch voor het lek. Echter maakt een groot aantal gebruikers nog steeds gebruik van een oude versie, wat betekent dat zij nog steeds kwetsbaar zijn.

Aantal kwetsbare websites

Volgens de cijfers op WordPress.org heeft ThemeGrill Demo Importer ruim 100.000 actieve installaties. Op 18 januari was de update met de patch iets meer dan 28.000 keer gedownload, wat zou betekenen dat er nog minstens 72.000 websites kwetsbaar zijn. Echter is het ook mogelijk dat het aantal kwetsbare sites nog hoger ligt. Volgens onderzoekers van WebArx is de plugin op meer dan 200.000 WordPress websites actief, en ThemeGrill zelf stelt dat hun thema’s door meer dan 300.000 websites worden gebruikt.

 

Wil jij meer leren over Wordpress?

In de kennisbank vertellen we je alles over de belangrijkste onderwerpen

  • Snel en gemakkelijk contact met een WordPress expert
  • Ontvang als eerste nieuwtjes & leuke acties
  • Overleg met andere WordPress fans

Je WordPress vraag of probleem razendsnel opgelost met de hulp van een echte WordPress developer!

Join de grootste WordPress community van Nederland & stel je vraag via ons WordPress ticketsysteem.

Medaille-buddy

Blijf op de hoogte van het laatste WordPress nieuws.

Schrijf je in voor onze wekelijkse nieuwsbrief.