Tag: beveiligingsproblemen

Wordpress

Miljoenen WordPress websites ernstig kwetsbaar. Update nu!

Miljoenen WordPress websites zijn kwetsbaar doordat plugins niet meer bijgewerkt worden en WordPress geen update melding meer geeft over WordPress plugins. Wat te doen hier aan?

Als beta-tester van ClassicPress, gebaseerd op de WordPress 4.9-branch, constateerde ik een “tekortkoming” bij het updaten van plugins. Namelijk: dat plugins niet tonen dat er een update is zodra de plugin is gestopt met ondersteuning voor de WordPress 4.9-branch. Hoewel ik erg gecharmeerd ben van ClassicPress qua idee en het voor een aantal websites ook gebruik gebruik ik voor deze site en mijn bedrijfswebsite WordPress.

Normaliter wordt er in het WordPress dashboard, waar je de website beheert, een melding gedaan dat er een update beschikbaar is voor een plugin en bij de plugin zelf zie je dat ook.

 

Wordpress Plugins Update beschikbaar

 

Veel mensen zijn hier laks in overigens. Maar in elk geval wordt je gewaarschuwd.

Zodra echter ontwikkelaars van WordPress plugins overgaan naar het ondersteunen van alleen nog maar WordPress 5+ wordt er géén melding meer gedaan van updates. Immers: die zijn er ook niet (meer) voor de 4.9.x en oudere versies? Je hebt daardoor effectief een “abandoned” (een “verstoten” of “weeskind”) plugin in je WordPress website. En dat veroorzaakt een beveiligingsprobleem op termijn. Soms zelfs op heel korte termijn.

Een bekend voorbeeld hiervan is het ontzettend populaire ContactForm7, een plugin waarmee je contactformulieren op je website kunt toevoegen. Deze ondersteunt alleen nog WordPress 5.x-versies.

Ik dacht in eerste instantie dat de constatering die ik deed bij het testen het een tekortkoming (of ‘bug’) in ClassicPress was. Dit bleek niet het geval te zijn!

Voor de meeste ClassicPress-gebruikers is het niet zo’n probleem want ze gebruiken veelal alternatieve plugins of plugins speciaal voor ClassicPress. Maar voor gebruikers van verouderde WordPress installaties, en dat zijn er volgens de cijfers tientallen miljoenen(!), is het een enorm probleem zonder dat ze het weten en er wordt ook helemaal niets aan gedaan door de ontwikkelaars van de plugins en WordPress zelf.

Dit probleem heeft potentieel grote consequenties. Het is niet de vraag óf maar wannéér we straks de eerste grote exploit zullen zien van één of meerdere plugins die op honderdduizenden zoniet miljoenen sites in gebruik is.

Geen WordPress plugin updates

Het probleem wordt veroorzaakt doordat het WordPress update mechanisme ‘by design’ zo ontworpen is dat updates niet standaard geport worden naar oudere versies (dat is ondoenlijk) en ontwikkelaars van plugins vaak alleen de nieuwste versie ondersteunen.

In dit artikel de oorzaak en de mogelijk ernstige gevolgen hiervan voor veel websites, wereldwijd, die WordPress en ClassicPress gebruiken. Mogelijk ook úw website!

Lees hier verder voor meer details en uitleg.