WordPress plugin Really Simple Security lek
Indien je de WordPress plug-in Really Simple Security geïnstalleerd hebt staan is het dringend noodzakelijk om deze zo snel mogelijk bij te werken naar de laatste versie 9.1.2 of hoger, dit om jouw website veilig te houden. In deze blog post behandelen we het lek en hoe deze is ontstaan.
Really Simple Security lek
Kwaadwillenden kunnen een lek uitbuiten binnen deze plugin die ze in staat stelt om de website in zijn geheel over te nemen, door deze beveiligingsfout is er een kwetsbaarheid ontstaan met een authenticatie-bypass. Dit is een fout die een aanvaller in staat stelt toegang te krijgen tot delen van een website die normaal gesproken een gebruikersnaam en wachtwoord vereisen, zonder dat hij inloggegevens hoeft te verstrekken. De kwetsbaarheid die specifiek is voor Really Simple Security stelt een aanvaller in staat toegang te krijgen tot het account van elke geregistreerde gebruiker van de website, inclusief de beheerder, simpelweg door de gebruikersnaam te weten.
Dit wordt een Unauthenticated Access Vulnerability genoemd, een van de ernstigste soorten kwetsbaarheden, omdat het over het algemeen gemakkelijker te misbruiken is dan een "authenticated"-kwetsbaarheid, waarbij een aanvaller eerst de gebruikersnaam en het wachtwoord van een geregistreerde gebruiker moet verkrijgen.
Wordfence heeft hier een bericht voor uitgebracht wat hieronder te lezen is:
“The Really Simple Security (Free, Pro, and Pro Multisite) plugins for WordPress are vulnerable to authentication bypass in versions 9.0.0 to 9.1.1.1. This is due to improper user check error handling in the two-factor REST API actions with the ‘check_login_and_get_user’ function. This makes it possible for unauthenticated attackers to log in as any existing user on the site, such as an administrator, when the “Two-Factor Authentication” setting is enabled (disabled by default).
Wordfence blocked 310 attacks targeting this vulnerability in the past 24 hours.”
Een ernstig lek is dit dus, deze plug-in staat geïnstalleerd op 4 miljoen WordPress websites wereldwijd, en zullen een hoop gebruikers dus per direct actie op te ondernemen. Update de plugin direct, en overweeg ook automatische updates in te schakelen voor de plugin. Dan worden enige verdere updates ook gelijk geïnstalleerd zodra deze uitgebracht worden.
WordPress website veilig houden
Een WordPress website veilig houden komt neer met het bijblijven met updates, en kritisch te zijn op welke plug-ins en thema’s je geïnstalleerd hebt staan. Een waslijst aan plug-ins en thema’s die je op de website hebt staan dienen altijd teruggebracht te worden naar het minimale, en enige inactieve onderdelen die je nog hebt staan op de website dienen verwijderd te worden. Zo houdt je de website schoon van vervuiling, en zorg je ervoor dat jouw website optimaal blijft draaien.
Veel plug-ins geïnstalleerd hebben staan is ook altijd een risico, aangezien deze plug-ins altijd bijgehouden dienen te worden en met elkaar samen dienen te werken. In de regel raden we aan om binnen de WordPress website niet meer dan 8 plug-ins te gebruiken. En altijd kritisch te kijken met welke frequentie deze plug-ins updaten en of de recensies hiervan goed zijn. Als een plug-in maanden niet bijgewerkt wordt in het verleden dan is het vaak een teken dat dit slimmer is om niet te installeren op je website.
Verder kan je inderdaad ook extra plug-ins installeren om de beveiliging van je WordPress website uit te breiden met bijvoorbeeld Really Simple Security. Maar zoals je in dit nieuws ziet kunnen deze plug-ins ook zelf hierin de boosdoener zijn. Een sterk random wachtwoord voor je WordPress user en regelmatige backups van je WordPress website zijn nog steeds de twee methoden waar je in deze het meest op kunt vertrouwen. Zorg er ook voor dat jouw backups ook op meerdere plekken staan, zoals 1 keer op de hosting space, 1 keer lokaal, en 1 keer op een derde partij in de cloud opslag. Zo kan je ook in vrijwel elk scenario nog vertrouwen op een backup van jouw WordPress website.
Houdt je website dus op to date en blijf het laatste nieuws volgen van je gebruikte thema’s en plug-ins, zo houdt je jouw WordPress website veilig!
