Wat als ik een plugin of thema wil gebruiken dat lek is?

Wat als ik een plugin of thema wil gebruiken dat lek is?
datum-geschreven 27 jan 2016

Je hebt net een hele mooie website gemaakt met een mooi thema en diverse plugins, en dan is je website gehackt!

Dat is enorm vervelend! Het is ons ook tientallen keren overkomen.. zelfs met alle voorkennis die we hebben.

Wat nu als ook nog eens blijkt dat je plugin of thema lek is maar de ontwikkelaars er niets aan doen? Ook al heb je ze op de hoogte gesteld van het lek.

Je hebt betaald voor een plugin, voor een thema.. maar de ontwikkelaar geeft geen reactie 🙁

Dat komt veel voor, zelfs als het lek gemeld wordt op hun support forums of via de mail.

Waarom doen de ontwikkelaars niets?

De ontwikkelaars van thema’s zijn geen hackers, geen beveiligers en gaan er vooral voor om zoveel mogelijk geld te verdienen.

Dit klinkt hard maar het is helaas de realiteit..

Maar wat moet ik nu doen?

Je kunt 2 dingen doen:

  1. Je neemt een nieuw thema, of andere plugin
  2. Je zorgt ervoor dat de lekke plugin geen problemen kan veroorzaken

Stap 1 uitvoeren

Je verwijderd de plugin/thema van de server met een FTP programma om zeker te zijn dat het lek ook echt verwijderd is.

Je zoekt een nieuw thema/plugin, en hoopt dat 1 van de 4000+ bekende lekken niet in je nieuwe thema of plugin zit.

Dat klinkt niet goed, 4000+ lekken?!

Even in perspectief:

Er zijn 42.565 gratis plugins
En naar schatting zo’n 30.000 betaalde plugins

En er zijn sinds 2003 zo’n 150+ WordPress releases uitgebracht waarvan velen voor de beveiliging.

De beveiliging binnen WordPress is wel op orde in tegenstelling tot de partijen die even een plugin of thema maken

Het aantal gratis WordPress thema’s is ook ontelbaar, en de premium themes ook.

WordPress is nog altijd gratis!

En dit lokt zowel gebruikers als hackers over de hele wereld.

Stap 2 uitvoeren

Dit kun je helaas niet met 1 beveiligings plugin fixen, aangezien die beveiligingsplugin de rechten van een bestand op je server niet zal beperken om te functioneren.

Je moet in dit geval zorgen dat een lek geen aanpassingen op server niveau kan doen.

Je haalt dan de schrijfrechten weg van bepaalde mappen zodat het lek er niets in kan aanpassen.

Wat doet een lek in een plugin of thema eigenlijk?

Vaak niets totdat de persoon die het lek kent er opdrachten aan gaat geven. Door middel van een injectie in de browser of via een input veld (XSS)

Slot

Het is dus een eigen keuze of je de plugin of theme volledig vervangt in de hoop dat deze extra werkzaamheden en kosten veiligheid opleveren, of dat je de website tijdelijk “bevriest” zodat hij zal blijven werken zoals hij nu doet.

Meer WordPress: , ,

De meeste artikelen worden geschreven door Mathieu Scholtes, de eigenaar van WPBeveiligen. Op de hoogte blijven van het laatste WordPress nieuws? WordPress tips? WordPress aanbiedingen?
Connect dan op Linked-in!

Heb je een vraag? Tip of gedachte? Deel die!

Abonneer
Breng me op de hoogte
guest
5 Reacties
Inline Feedbacks
Bekijk alle reacties
Mike

Als ik een plugin uitkies, kijk ik naar het aantal keren dat het gedownload is, of het op het https://wpvulndb.com/ vaak voorkomt , bekijk de beoordelingen op wordpress.org en kijk ik wat er op forums er over gezegd wordt. Zelf vind ik dat een goede manier om erachter te komen of achter de plugin betrouwbare programmeurs zitten. Of heeft dat allemaal geen zin?

dwinden

Dat een plugin een of meerdere lekken bevat is niet zo erg.

Het wordt pas een probleem als een lek wordt ontdekt en gepubliceerd en de ontwikkelaar van de plugin niet snel genoeg een update beschikbaar stelt dat het lek fixt (of inderdaad zelfs helemaal geen fix maakt).

I weet zeker dat de meeste plugins (gratis maar ook betaalde) lekken bevatten die nog niet zijn opgemerkt.
Onbekende lekken vormen gelukkig geen direkt gevaar.

Kijk dus niet alleen naar het aantal bekende lekken/bugs van een plugin maar kijk ook naar hoe de ontwikkelaar ermee omgaat.

Lees het Changelog zodra er een update beschikbaar komt van een plugin die je gebruikt. Daarin staat precies wat er allemaal gefixed is per update.

Wilma de groot

hoe kan ik erachter komen of mijn plugin lek is?