Er worden regelmatig lekken gevonden in WordPress-plugins, waardoor kwaadwillenden vrij spel hebben. Vaak gaat het echter om plug-ins die niet honderdduizenden keren geinstalleerd zijn. Nu is dat wel het geval met de plug-in van Kirki. Voor aanvallers is het mogelijk om zonder authenticatie het wachtwoord van een beheerder te resetten en zo volledige controle over een website te krijgen. Een patch is beschikbaar, maar tienduizenden sites draaien nog altijd een kwetsbare versie.
Kirki is een veelgebruikte plug-in waarmee WordPress-sites visueel worden opgebouwd en aangepast. Meer dan een half miljoen sites maken er gebruik van, maar de 6.0-reeks zorgt voor veel problemen. Securitybedrijf Wordfence ontdekte een ernstige fout die aanvallers in staat stelt om beheerdersaccounts over te nemen.
De fout zit in de ‘forgot password’-functie van de plug-in. Wanneer een gebruikersnaam wordt opgegeven, zoekt Kirki het bijbehorende account op. Daarna verstuurt het een resetlink. Die wordt echter verstuurd naar het e-mailadres dat de aanvaller zelf in het verzoek heeft meegegeven, in plaats van het adres dat in de database staat. Zo kan iemand dus kinderlijk eenvoudig een resetlink voor het admin-account naar zijn eigen inbox laten sturen om vervolgens onbeperkte toegang tot de site krijgen.
Tienduizenden websites nog kwetsbaar
De kwetsbaarheid ontvangt een CVSS-score van 9,8, waarmee het als kritiek wordt geclassificeerd. Het probleem treft uitsluitend versie 6.0 tot en met 6.0.6 van Kirki. Dat versies worden door zo’n 200.000 WordPress-sites worden gedraaid, zo blijkt uit cijfers van WordPress.org. De ontwikkelaars werden half mei al ingelicht en kwamen drie dagen later met versie 6.0.7, waarin een patch is opgenomen, waardoor deze werkwijze geblokkeerd is.
Ondanks de beschikbare patch laten cijfers van WordPress.org zien dat tienduizenden sites de update nog niet hebben geïnstalleerd. Sites waarop de kwetsbare versie actief is, lopen dus nog steeds groot risico. Misbruikers kunnen bijvoorbeeld plug-ins en thema’s installeren, backdoors uploaden of gegevens stelen. Wie Kirki 6.0 tot en met 6.0.6 draait, doet er dus goed aan om direct te updaten. Daarnaast adviseert Wordfence om de gebruikerslijst te controleren op onbekende of verdachte administrator-accounts.
Eerder op ICT Magazine: Handige plug-in of juist een gevaarlijk beveiligingslek?
De herkomst en risico’s van WordPress-plug-ins
Hoewel WordPress zelf een stabiel platform biedt, wordt het overgrote deel van de plug-ins ontwikkeld door externe partijen en niet door WordPress zelf. Iedereen kan dus in feite plug-ins bouwen en aanbieden. Dat zorgt onder andere voor de grote gebruikersschare van het platform, maar ook voor grote cybersecurity-risico’s. Voor bedrijven is een plug-in vaak de zwakste schakel in de online beveiliging. Wanneer ontwikkelaars stoppen met het onderhouden van hun software, of wanneer updates simpelweg niet worden geïnstalleerd, kunnen kritieke kwetsbaarheden blijven openstaan, wat weer een uitnodiging is voor criminelen met kwaad in de zin.
Om je website veilig te houden, moet je als bedrijf een strikt plug-inbeleid hanteren. Kies bij voorkeur voor plug-ins met een hoge rating, miljoenen actieve installaties of een ontwikkelaar die recent nog updates heeft uitgebracht. Beperk daarnaast het totale aantal plug-ins tot een minimum. Hoe minder code je inlaadt, hoe kleiner de kans op datalekken. Tot slot is het cruciaal om updates te automatiseren of wekelijks handmatig door te voeren, en een actieve security-scanner te gebruiken die direct aan de bel trekt zodra een geïnstalleerde plug-in een bekend lek vertoont.