Waarom WordPress plugins up-to-date moeten blijven

Waarom WordPress plugins up-to-date moeten blijven

Geschreven door Alain Lankers

25 juli 2019

Waarom WordPress plugins up-to-date moeten blijven? Ik kom ze vaak tegen: WordPress websites die niet onderhouden worden en plugins bevatten die niet up-to-date zijn. Je hoort dan als reactie dat de website het toch doet, dat hij toch met een wachtwoord of plugin beveiligd is of dat de website te klein is om gehackt te worden. Deze argumenten zijn helaas niet afdoende. 

Websites worden om allerlei redenen gehackt, zo is het populair om kleine websites te hacken en deze te gebruiken voor het minen van cryptocurrency. En ook al heb je een wachtwoord en een beveiligingsplugin dan kan je website nog gehackt worden als de plugins niet up-to-date zijn. Ik geef hier een voorbeeld hoe dat in zijn werk gaat om aan te tonen dat het van uiterst belang is je WordPress website goed te onderhouden.

Het eerste wat een hacker doet is je WordPress website scannen met wpscan. Dat is een tool om kwetsbaarheden in WordPress websites te vinden maar wordt ook door hackers gebruikt. Met deze scan kan hij zien welke plugins je website bevat en of ze up-to-date zijn. Als ze niet de laatste versie bevatten dan geeft de tool aan welke kwetsbaarheden deze bevat.

In deze testopstelling worden 2 kwetsbaarheden gevonden in de plugin WP Mobile Detector. De laatste versie is 3.6 en ik heb versie 3.5 erop staan. De scan laat ook zien waar de kwetsbaarheden zich bevinden: in dit geval kan er een hack uitgevoerd worden via XSS of via Arbitrary File Upload.

wordpress plugins hack 1

In dit geval gaan we de WordPress website die ik als test heb opgezet hacken via Arbitrary File Upload. Dat betekent dat ik een kwaadaardig bestand ga uploaden naar de server van de website en dat bestand gaat een script uitvoeren waardoor ik gevoelige informatie kan uitlezen. In het script staat code die ervoor zorgt dat ik data uit de database kan inlezen. Deze informatie bevat alle gebruikersnamen en wachtwoorden.

wordpress plugins hacked 1

Ik start op mijn computer een server op en via nog een ander stukje code wordt bovenstaande script naar de website gestuurd die gehackt wordt. Ik ga niet alle codes hier schrijven omdat het niet de bedoeling is om hier te leren een WordPress website te hacken maar alleen maar om aan te tonen hoe het van belang is om alles up-to-date te houden.

Tenslotte ga ik naar het bestand dat ik op de website heb gezet die nu gehackt is. Ik ga naar: www.URL.com/wp-content/plugins/wp-mobile-detector/cache/hacked.php. En ik krijg alle gebruikersinformatie te zien uit de database: gebuikernamen, wachtwoorden en e-mailadressen.

hack wordpress plugins 1

Ik hoop hiermee het belang aangetoond te hebben van goed WordPress onderhoud. Je kan je voorstellen welke informatie een hacker kan uitlezen op deze manier: denk aan klantgegevens uit een webshop, patiëntengegevens in een zorgpraktijk en zo meer.

Zorg voor een goed WordPress onderhoud en extra beveiligingsmaatregelen!

Gerelateerde berichten

WordPress brute force aanval

WordPress brute force aanval

Een van de dienstverleningen die ik met mijn bedrijf aanbied is WordPress Beveiliging. WordPress is op zich een veilig...