Tienduizenden WordPress-sites kwetsbaar door kritiek lek in gebruikte plug-in
Tienduizenden WordPress-sites bevatten een kritieke kwetsbaarheid waardoor ze in theorie door aanvallers op afstand zijn over te nemen. Een beveiligingsupdate is al een maand beschikbaar, maar een groot aantal websites heeft die nog niet geïnstalleerd. De ontwikkelaars van Advanced Custom Fields: Extended hebben ook niet nadrukkelijk vermeld dat de update het kritieke beveiligingslek verhelpt.
Advanced Custom Fields (ACF) is een zeer populaire uitbreiding die allerlei extra opties aan WordPress toevoegt. Meer dan twee miljoen websites maken er gebruik van. Advanced Custom Fields: Extended is weer een uitbreiding voor ACF die allerlei verbeteringen zou moeten toevoegen en op meer dan honderdduizend websites draait. Een beveiligingslek in ACF: Extended maakt het voor een ongeauthenticeerde aanvaller mogelijk om zich als administrator te registreren en zo volledige controle over de website te krijgen. Voorwaarde is wel dat de beheerder van de site bepaalde opties voor het registratieformulier heeft ingeschakeld. Iets dat volgens securitybedrijf Wordfence waarschijnlijk niet veel voorkomt.
Ondanks de voorwaarden voor misbruik is de impact van de kwetsbaarheid (CVE-2025-14533) op een schaal van 1 tot en met 10 beoordeeld met een 9.8. De ontwikkelaars van de plug-in werden op 11 december ingelicht en kwamen op 14 december met versie 0.9.2.2 waarin het probleem is verholpen. In de release notes wordt de aanwezigheid van het beveiligingslek niet vermeld. Er wordt alleen gesteld dat er "een beveiligingsmaatregel" is toegevoegd. Hoewel de update al een maand beschikbaar is, laten cijfers van WordPress.org zien dat zo'n 60.000 sites die nog niet hebben geïnstalleerd.
Hoe meer je installed, hoe groter de gatenkaas. Die scripts lopen allemaal, conficteren soms en maken de zaak extreem traag. Buiten dat doen veel mensen zich niet de moeite om te kijken wat hun huidige plugins allemaal al kunnen. Ze vliegen gelijk naar "Install new plugins" en installeren het eerste het beste dat aan de zoekopdracht voldoet.
Moet iedereen ook zelf weten. Dan hebben beginnende hackers tenminste wat oefenen. Ik pak dingen heel anders aan. Mijn filosofie is: hoe minder troep je hebt draaien, hoe sneller je site en je maakt er geen gatenkaas van. Doe je dat dan toch?! ZORG DAN DAT JE JE UPDATES DRAAIT of automatiseert!
Maar goed, wie ben ik.
Trouwens, een site duur aanschaffen en dan later niet meer onderhouden is een garantie op dit soort ellende.
Hoe meer je installed, hoe groter de gatenkaas. Die scripts lopen allemaal, conficteren soms en maken de zaak extreem traag. Buiten dat doen veel mensen zich niet de moeite om te kijken wat hun huidige plugins allemaal al kunnen. Ze vliegen gelijk naar "Install new plugins" en installeren het eerste het beste dat aan de zoekopdracht voldoet.
Moet iedereen ook zelf weten. Dan hebben beginnende hackers tenminste wat oefenen. Ik pak dingen heel anders aan. Mijn filosofie is: hoe minder troep je hebt draaien, hoe sneller je site en je maakt er geen gatenkaas van. Doe je dat dan toch?! ZORG DAN DAT JE JE UPDATES DRAAIT of automatiseert!
Maar goed, wie ben ik.
We beheren over 4000 plugins voor 500+ bedrijven met shops die soms 50 tot 60 plugins gebruiken en de performance ervan is nog steeds binnen seconde laadtijd voor front end met lighthouse tussen 85 en 100. Simpel weg goede cache opzetten genoeg cpu cores en ram voor de databases het is geen rocket science.
Je moet verder meten wat wat doet en waar. Qua veiligheid zolang je leveranciers gebruikt met goede patch reputatie en inschrijft voor bullitens is er weinig dat mis kan gaan mits je infra ook nog over exploit detectie beschikt wat je sowieso wel moet hebben.
Waar ik het wel eens over ben is dat veel beheerders inderdaad te snel grijpen naar plugins zonder vooronderzoek maar in de gevallen van waar je beheerd namens is dat heel vaak ook de klant hun schuld omdat ze perse dat labeltje voor discounts op bepaalde producten willen hebben of sorteer opties die geen hond gebruikt. Maar het is en blijft je klant en tenzij het een direct risico vormt heb je enkel een adviserende en faciliteerende rol.
Daar komt ook nog bij dat het in somige gevallen verstandiger is meer kleine plugins te nemen dan een all in one. Als de all in one stopt, overgenomen wordt of bad patch uitbrengt ligt je omgeving er groot en deels uit. Dat risico wordt door klanten vaak als ernstiger beschouwd dan het risico van meerdere plugins.
Elke bedrijf wens is anders maar ik heb zelden meegemaakt dat een wens zo complex is dat het de systemen vertraagt. Goede infra en kennis over de infra is key.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
(Senior) Informatie Beveiligingsadviseur - CISO Office
Ministerie van Binnenlandse Zaken en Koninkrijksrelaties
Wil jij je op strategisch niveau bezighouden met de beveiliging van informatie waar niets mee fout mag gaan? Wij geven jou volop gelegenheid om samen met deskundige collega’s te werken aan beleid, procedures, advies, risicomanagement, metrics en projecten rond informatiebeveiliging.
Wij zoeken een Junior DevOps Engineer!
Ben jij nieuwsgierig, leergierig en klaar om je te verdiepen in de wereld van DevOps? In deze functie krijg je alle ruimte om te groeien. Je werkt met de nieuwste technologieën en krijgt intensieve begeleiding van ervaren security professionals zodat je je in korte tijd kunt ontwikkelen tot een volwaardige DevOps Engineer. Je werkt in Den Haag en werkt samen met een team dat kennis, humor en uitdaging moeiteloos weet te combineren. Are you ready for a challenge?