WordPress heeft vorige week 10 plugins voor webwinkels verwijdert die via WordPress.org werden aangeboden. Het ging om WooCommerce plugins van Multidots die beveiligingslekken bevatten en die al geruime tijd niet meer door de ontwikkelaar waren geüpdatet.
Multidots is een bedrijf dat zich specialiseert in het ontwikkelen van WooCommerce plugins, met kantoren in de Verenigde Staten en India. Ze bouwen ook custom extensies en add-ons voor WooCommerce. Zo hebben ze plugins gemaakt voor het delen van content via WhatsApp en Viber, voor het tonen van cookiemeldingen. Ze hebben tevens een teller uitgebracht voor bezoekersaantallen.
Het ging om de volgende plugins:
Deze 10 plugins waren samen goed voor zo’n 20.000 installaties. De kwetsbaarheden maakten het mogelijk voor hackers om o.a. toegang te krijgen tot de database van de betreffende websites. De problemen werden ontdekt voor het beveiligingsbedrijf Threatpress, dat Multidots meteen waarschuwde. Maar omdat Multidots niet aangaf wanneer de onveilige WooCommerceplugins geüpdatet zouden worden, besloot Threatpress eveneens WordPress op de hoogte te stellen. Vorige week werden de plugins dan ook van WordPress.org afgehaald. De websites die de plugins reeds geïnstalleerd hadden waren echter nog steeds kwetsbaar, omdat alleen website beheerders hun plugins kunnen deactiveren.
Inmiddels heeft Multidots de problemen verholpen. De 10 WooCommerce plugins zijn geüpdatet en tevens weer gewoon via WordPress.org te downloaden. We mogen ervan uit gaan dat ze in de toekomst meer aandacht zullen besteden aan het up-to-date houden van hun plugins. Dat is tenslotte wel iets dat je van een professionele plugin ontwikkelaar mag verwachten!
Lees ook: Beveiligen van je webshop: 12 tips
Gratis handleiding
Download de handleiding vandaag nog en haal het maximale uit jouw WordPress-site!
