Er is recentelijk een kwetsbaarheid aangetroffen in de Backuply plugin, die meer dan 200.000 actieve installaties heeft. De ontwikkelaar heeft inmiddels een security update uitgerold om het probleem te verhelpen.
Over de Backuply plugin
Backuply is een handige WordPress plugin waarmee je backups van je WordPress website kunt maken, welke je lokaal of in de cloud kunt opslaan. De plugin integreert met onder andere FTP, FTPS, SFTP, WebDAV, Google Drive, Microsoft OneDrive, Dropbox en Amazon S3. Daarnaast zijn er verschillende mogelijkheden voor het migreren en klonen van WordPress websites, alsmede voor het herstellen van sites na een hack of dataverlies. Naast de premium versie is er ook een gratis versie van de plugin beschikbaar op WordPress.org.
Denial Of Service (DoS) kwetsbaarheid
Eerdere versies van Backuply bevatten een zogeheten Denial Of Service (DoS) kwetsbaarheid, welke werd veroorzaakt door directe toegang tot het backuply/restore_ins.php bestand. Dit maakte het mogelijk voor niet-geautoriseerde aanvallers om zoveel server requests te maken dat de server waarop de betreffende site gehost wordt, uiteindelijk geen requests meer kan verwerken en de site niet meer bereikbaar is.
Lees ook: Zo maken hackers misbruik van kwetsbaarheden in WordPress plugins
Update met patch
In de officiële Backuply changelog, waar de details van elke update worden beschreven, is te lezen dat er in versie 1.2.6 een fix is geïmplementeerd. De transparante werkwijze en snelle respons na het ontdekken van de kwetsbaarheid, laat zien dat Backuply een betrouwbare ontwikkelaar is.
Update installeren
Maak jij gebruik van Backuply? Dan raden we je aan om meteen te controleren of je versie 1.2.6 al geïnstalleerd hebt. Zo niet, dan is het raadzaam om de plugin onmiddellijk naar de meest recente versie updaten. Dit is van cruciaal belang om misbruik van de kwetsbaarheid te voorkomen en de veiligheid en bereikbaarheid van je WordPress website te waarborgen. Voor meer informatie over deze kwetsbaarheid verwijzen we je naar de berichtgeving op de Wordfence website.