Wordpress-beheerders moeten opnieuw snel in actie komen
Deze keer gaat het om WP-Slimstat, een analysetool. Alle versies tot aan de onlangs gelanceerde versie 3.9.6 blijken een makkelijk te raden sleutel te bevatten voor het versleutelen van verkeer met bezoekende pc's. Die sleutel blijkt gegenereerd te worden op basis van het tijdstip van installeren van de plug-in.
Shutterstock
Shutterstock
Als je bijvoorbeeld via Internet Archive achterhaalt in welk jaar de plug-in is geïnstalleerd, zijn er hooguit zo'n 30 miljoen mogelijke waarden; die kun je in een minuut of 10 allemaal uitproberen, schrijft Sucuri, dat het lek ontdekte.
De gevolgen kunnen ernstig zijn. Niet alleen kunnen via dit lek de inloggegevens van individuele bezoekers overgenomen worden, ook kan de website zelf in voorkomende gevallen overgenomen worden. In principe zijn 1,3 miljoen websites in gevaar; hoe veel daarvan al overgestapt zijn op de jongste versie van Slimstat, is onduidelijk.
Het is niet de eerste keer dat Wordpress-websites in gevaar gebracht worden door onveilige programmeerpraktijken bij ontwikkelaars van plug-ins. Het afgelopen jaar werden onder meer ook al lekken gevonden in de plug-ins Fancybox-fo Wordpress, Custom Contact Forms, Slider Revolution en MailPoet.
Gerelateerde artikelen
Gerelateerde artikelen
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee