WordPress gebruikers die de premium plugin Total Donations gebruiken, worden dringend verzocht deze zo snel mogelijk deactiveren en verwijderen. Mikey Veenstra, threat analyst bij Wordfence, plaatste afgelopen vrijdag een waarschuwing op de Wordfence website.
Total Donations plugin
Total Donations is een commerciële plugin die ontwikkeld werd om via je WordPress site donaties in te zamelen en te beheren. De plugin wordt dan ook voornamelijk gebruikt door goede doelen, liefdadigheidsinstellingen en andere organisaties. Organisaties die nu een zeer populair doelwit zijn voor hackers.
Zero-day kwetsbaarheid
Er zou een zogeheten zero-day kwetsbaarheid in de plugin ontdekt zijn; een kwetsbaarheid waarvoor geen patch is. Volgens Wordfence wordt de zero-day kwetsbaarheid in Total Donations nu actief gebruikt om websites over te nemen. Pogingen (van zowel Wordfence als gebruikers) om de ontwikkelaars van de plugin te benaderen hebben vooralsnog niets opgeleverd; het project lijkt verlaten te zijn. En omdat de ontwikkelaar van de plugin al sinds mei 2018 inactief is, zal er waarschijnlijk ook geen patch meer verschijnen.
Volgens Veenstra bevat de code van de plugin een AJAX-eindpunt dat zowel de plugin zelf als de WordPress website blootstelt aan externe manipulatie. Het AJAX-eindpunt kan door praktisch elke aanvaller kan worden opgevraagd. Vervolgens kunnen allerlei core- en plugingerelateerde instellingen gewijzigd worden. Dat betekent in feite dat ze de hele website kunnen overnemen.
“Plugin geheel verwijderen”
CodeCanyon heeft de premium plugin inmiddels verwijderd, maar er zijn nog steeds gebruikers die de plugin gebruiken. Simpelweg de plugin deactiveren is volgens Veenstra niet voldoende. Het AJAX-eindpunt zit namelijk in een van de bestanden van de plugin. Dat betekent dat deactivatie de bedreiging niet elimineert; aanvallers kunnen het betreffende bestand rechtstreeks oproepen. Alleen door de plugin volledig te verwijderen (een WordPress plugin verwijderen doe je zo!) kun je je WordPress website beschermen tegen misbruik.
Lees ook: Is die WordPress plugin veilig? 15 redenen om een plugin toch maar niet te downloaden