Een kwetsbaarheid in de populaire Elementor-plugin voor WordPress raakt miljoenen websites. De kwetsbaarheid doet zich voor in de op 22 maart uitgebrachte versie 3.6.0 van de plugin.
De nu aangetroffen kwetsbaarheid is het ontbreken van een belangrijke toegangscheck in één van de bestanden van de plugin, zo ontdekten securityonderzoekers. De controle moet bij ieder verzoek worden geladen, ook als gebruikers niet in hun WordPress-omgeving zijn ingelogd. Doordat de check niet plaatsvindt, is toegang tot het bestand en dus de hele plugin open en voor iedereen toegankelijk.
Hackers kunnen op deze manier via een remote code-aanval toegang krijgen tot websites en deze helemaal overnemen en naar eigen inzicht aanpassen.
Elementor-plugin
De Elementor-plugin wordt flink gebruikt voor WordPress-sites. Inmiddels zouden ongeveer 5 miljoen websites de plugin hebben geïnstalleerd. Ongeveer een derde hiervan zou de getroffen versie gebruiken. Inmiddels is een versie 3.6.3 uitgebracht met een patch voor de gevonden kwetsbaarheid. Gebruikers worden geadviseerd der nieuwe versie zo snel mogelijk te installeren.
Blijven updaten belangrijk
De sterke groei van het aantal kwetsbaarheden voor WordPress-websites roept de vraag op waarom niet meer wordt gedaan aan het verbeteren van de beveiliging. Volgens experts moet vooral meer aandacht worden geschonken aan kwetsbaarheden die Remote Code Execution (RCE) mogelijk maken. Deze vorm van hackmethoden wordt volgens hen nogal vaak door web appliaction firewalls over het hoofd gezien. Vooral doordat dit soort securityoplossingen vooral draaien op het herkennen van eerder ontdekte kwetsbaarheden, in plaats van dat zij nieuwe herkennen.
Bedrijven kunnen de gevaren voor hun WordPress-omgevingen en de daarvoor bestemde plugins het beste beschermen door constant updates te draaien.