Featured image for Wat als ik een plugin of thema wil gebruiken dat lek is? in category HACKERS

Wat als ik een plugin of thema wil gebruiken dat lek is?

/5 Reacties/in ,

Je hebt net een hele mooie website gemaakt met een mooi thema en diverse plugins, en dan is je website gehackt!

Dat is enorm vervelend! Het is ons ook tientallen keren overkomen.. zelfs met alle voorkennis die we hebben.

Wat nu als ook nog eens blijkt dat je plugin of thema lek is maar de ontwikkelaars er niets aan doen? Ook al heb je ze op de hoogte gesteld van het lek.

Je hebt betaald voor een plugin, voor een thema.. maar de ontwikkelaar geeft geen reactie 🙁

Dat komt veel voor, zelfs als het lek gemeld wordt op hun support forums of via de mail.

Waarom doen de ontwikkelaars niets?

De ontwikkelaars van thema’s zijn geen hackers, geen beveiligers en gaan er vooral voor om zoveel mogelijk geld te verdienen.

Dit klinkt hard maar het is helaas de realiteit..

Maar wat moet ik nu doen?

Je kunt 2 dingen doen:

  1. Je neemt een nieuw thema, of andere plugin
  2. Je zorgt ervoor dat de lekke plugin geen problemen kan veroorzaken

Stap 1 uitvoeren

Je verwijderd de plugin/thema van de server met een FTP programma om zeker te zijn dat het lek ook echt verwijderd is.

Je zoekt een nieuw thema/plugin, en hoopt dat 1 van de 4000+ bekende lekken niet in je nieuwe thema of plugin zit.

Dat klinkt niet goed, 4000+ lekken?!

Even in perspectief:

Er zijn 42.565 gratis plugins
En naar schatting zo’n 30.000 betaalde plugins

En er zijn sinds 2003 zo’n 150+ WordPress releases uitgebracht waarvan velen voor de beveiliging.

De beveiliging binnen WordPress is wel op orde in tegenstelling tot de partijen die even een plugin of thema maken

Het aantal gratis WordPress thema’s is ook ontelbaar, en de premium themes ook.

WordPress is nog altijd gratis!

En dit lokt zowel gebruikers als hackers over de hele wereld.

Stap 2 uitvoeren

Dit kun je helaas niet met 1 beveiligings plugin fixen, aangezien die beveiligingsplugin de rechten van een bestand op je server niet zal beperken om te functioneren.

Je moet in dit geval zorgen dat een lek geen aanpassingen op server niveau kan doen.

Je haalt dan de schrijfrechten weg van bepaalde mappen zodat het lek er niets in kan aanpassen.

Wat doet een lek in een plugin of thema eigenlijk?

Vaak niets totdat de persoon die het lek kent er opdrachten aan gaat geven. Door middel van een injectie in de browser of via een input veld (XSS)

Slot

Het is dus een eigen keuze of je de plugin of theme volledig vervangt in de hoop dat deze extra werkzaamheden en kosten veiligheid opleveren, of dat je de website tijdelijk “bevriest” zodat hij zal blijven werken zoals hij nu doet.

Misschien ook iets voor u
Featured image for De Anti-Malware plugin in category BEVEILIGENDe Anti-Malware plugin
Featured image for 10 WooCommerce extensies die je niet kunt missen in category ANTIVIRUS10 WooCommerce extensies die je niet kunt missen
Featured image for Kat en Muis, van 2015 naar 2016! in category BEVEILIGENKat en Muis, van 2015 naar 2016!
Featured image for Starten met WordPress in category BEVEILIGENStarten met WordPress
Featured image for Zijn premium / pro plugins veiliger dan de gratis versie? in category HACKERSZijn premium / pro plugins veiliger dan de gratis versie?
Featured image for Malware verwijderen uit WordPress in category BEVEILIGENMalware verwijderen uit WordPress
Featured image for WordPress beveiligen: van A-tot-Z in category BEVEILIGENWordPress beveiligen: van A-tot-Z
Featured image for Wat is PatchMan in category ANTIVIRUSWat is PatchMan
  • Wilma de groot says:
    27 January 2016 at 16:47

    hoe kan ik erachter komen of mijn plugin lek is?

    Reply
  • dwinden says:
    29 March 2016 at 12:07

    Dat een plugin een of meerdere lekken bevat is niet zo erg.

    Het wordt pas een probleem als een lek wordt ontdekt en gepubliceerd en de ontwikkelaar van de plugin niet snel genoeg een update beschikbaar stelt dat het lek fixt (of inderdaad zelfs helemaal geen fix maakt).

    I weet zeker dat de meeste plugins (gratis maar ook betaalde) lekken bevatten die nog niet zijn opgemerkt.
    Onbekende lekken vormen gelukkig geen direkt gevaar.

    Kijk dus niet alleen naar het aantal bekende lekken/bugs van een plugin maar kijk ook naar hoe de ontwikkelaar ermee omgaat.

    Lees het Changelog zodra er een update beschikbaar komt van een plugin die je gebruikt. Daarin staat precies wat er allemaal gefixed is per update.

    Reply
  • Mike says:
    11 February 2020 at 08:20

    Als ik een plugin uitkies, kijk ik naar het aantal keren dat het gedownload is, of het op het https://wpvulndb.com/ vaak voorkomt , bekijk de beoordelingen op wordpress.org en kijk ik wat er op forums er over gezegd wordt. Zelf vind ik dat een goede manier om erachter te komen of achter de plugin betrouwbare programmeurs zitten. Of heeft dat allemaal geen zin?

    Reply
    • WPbeveiligen says:
      11 February 2020 at 17:10

      Dat is een hele goede manier om een indicatie te krijgen of de plugin veilig is, zo doen wij het ook 🙂

      Al moet ik wel denken aan een beveiligingsplug-in (ik zal de naam niet noemen i.v.m veiligheid) waarbij er diverse keren op het forum melding werd gemaakt dat die plugin een zwakheid c.q. lek bevatte, en het lek zat er 1 jaar later nog in..

      De programmeurs van een plugin zijn soms actiever met marketing dan met het oplossen van kleine maar belangrijke bugs en lekken.

      Reply