image

WordPress forceert UpdraftPlus-update op 2,8 miljoen websites

vrijdag 18 februari 2022, 17:53 door Redactie, 4 reacties

WordPress heeft op 2,8 miljoen websites die gebruikmaken van de UpdraftPlus-plug-in een beveiligingsupdate geïnstalleerd. Via de kwetsbaarheid kan een aanvaller toegang tot databaseback-ups krijgen, die gebruikersnamen en gehashte wachtwoorden kunnen bevatten.

UpdraftPlus is een plug-in voor het maken van back-ups van WordPress-sites naar de cloud. Zo is het mogelijk om direct een back-up in bijvoorbeeld Dropbox of Google Drive op te slaan. Een kwetsbaarheid in de plug-in maakt het mogelijk voor gebruikers met een account, waaronder het allerlaagste subscriber-niveau, om back-ups van de website te downloaden.

De kwetsbaarheid, aangeduid als CVE-2022-0633, werd gevonden door securitybedrijf Jetpack. De ontwikkelaars van UpdraftPlus werden op 14 februari over het probleem ingelicht en kwamen op 16 februari met versie 1.22.3 waarin het probleem is verholpen. Vervolgens werd door WordPress tot "forced auto-updates" besloten.

UpdraftPlus is op meer dan drie miljoen websites geïnstalleerd. Uit cijfers van WordPress blijkt dat zo'n 2,8 miljoen websites de update inmiddels hebben ontvangen. Het komt zelden voor dat WordPress een update geforceerd uitrolt. Vorig jaar deed het dit onder andere voor lekken in een WooCommerce-plug-in en de Jetpack-plug-in.

Reacties (4)
19-02-2022, 09:12 door S.A.T.A.N.
De kwetsbaarheid, aangeduid als CVE-2022-0633, werd gevonden door securitybedrijf Jetpack. De ontwikkelaars van UpdraftPlus werden op 14 februari over het probleem ingelicht en kwamen op 16 februari met versie 1.22.3 waarin het probleem is verholpen. Vervolgens werd door WordPress tot "forced auto-updates" besloten.

Dit gaat ver (forced auto-updates) maar ik zie eigenlijk ook geen andere manier om die PHP scriptkiddies bij de les te houden. Het is meestal code and forget bij die lui dus je hoeft er niet echt op te rekenen dat ze zelf updates op tijd installeren (als ze dat überhaupt al zouden kunnen). Soms gaat het uitstellen van patches of er zelfs niet van bewust zijn, ten koste van onze persoonlijke informatie, omdat de boel dan gehackt wordt.
20-02-2022, 00:12 door _Martin_
Ik ben eerlijk gezegd totaal geen fan van Wordpress (werk liever met Symfony), maar heb wel ooit een website gemaakt met Wordpress. Ik heb daar bewust nooit plugins geïnstalleerd, omdat er gewoon tè vaak lekken zitten in de Wordpress-plugins. De paar features die ik nodig had, heb ik zelf als plugin geschreven zodat ik weet dat het op een goede manier is dichtgetimmerd. Als ik die berichten iedere keer lees over lekken in Wordpress-plugins ben ik blij dat ik niet voor elke "suffe feature" een aparte plugin heb geïnstalleerd. Veel van de dingen die zo'n plugin doet, maak je zelf met minder overhead. Ik begrijp dat Wordpress makkelijk is voor de wat minder technische mensen die toch websites willen maken, maar daar schuilt dan meteen ook het gevaar in.
20-02-2022, 12:24 door Anoniem
Door _Martin_: De paar features die ik nodig had, heb ik zelf als plugin geschreven zodat ik weet dat het op een goede manier is dichtgetimmerd.

Juist die mentaliteit heeft ervoor gezorgd dat WP-plugins zo'n ramp zijn. Iedereen denkt het beter te weten en schrijft zelf iets nieuws met alle kinderziektes van dien. Vervolgens wordt het vergeten en blijft de code vol lekken circuleren in de community.

Kijk eens naar hoe bijvoorbeeld Drupal dat totaal anders aanpakt. Support vanuit het core team voor een groot aantal plugins die bovendien verifieerbaar goed worden onderhouden. Je kunt ook zien hoeveel gebruikers er zijn en hoeveel bugs er open staan en opgelost zijn.
20-02-2022, 21:44 door _Martin_
Door Anoniem:
Door _Martin_: De paar features die ik nodig had, heb ik zelf als plugin geschreven zodat ik weet dat het op een goede manier is dichtgetimmerd.

Juist die mentaliteit heeft ervoor gezorgd dat WP-plugins zo'n ramp zijn. Iedereen denkt het beter te weten en schrijft zelf iets nieuws met alle kinderziektes van dien. Vervolgens wordt het vergeten en blijft de code vol lekken circuleren in de community.
Als ik zelf het wiel opnieuw zou uitvinden, heb je helemaal gelijk. In tegenstelling tot de uitgebreide WP-plugins waar van alles mogelijk is wat je niet wilt, heb ik slechts een minimale uitbreiding. Als dat lek is, is de core van Wordpress zelf lek ;-)

Door Anoniem:
Kijk eens naar hoe bijvoorbeeld Drupal dat totaal anders aanpakt. Support vanuit het core team voor een groot aantal plugins die bovendien verifieerbaar goed worden onderhouden. Je kunt ook zien hoeveel gebruikers er zijn en hoeveel bugs er open staan en opgelost zijn.
Code van Drupal is inderdaad stukken beter. OOP alleen al is een verademing t.o.v. Wordpress :-)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.