WPSCAN ondekt mogelijk lek in de SEO by Yoast plugin

De WordPress seo plugin van Yoast is 1 van de meest bekende en meest gebruikte plugins bij WordPress websites.

Leuk weetje: Joost van der Valk, de eigenaar van deze populaire plugin die wereldwijd gebruikt wordt is een Nederlander.

Echter, de kans dat hackers manieren zoeken om websites te hacken via deze veelgebruikte plugin is logischerwijs zeer groot. En zolang ze die niet gevonden hebben is er niets aan de hand.

Helaas heeft 1 van de ontwikkelaars van wpscan een zwakke plek ontdekt in de optimalisatie plugin van Yoast.

Gelukkig heeft de ontwikkelaar van wpscan dit lek netjes gemeld voordat een ander brein het lek zonder te melden gaat gebruiken voor minder prettige doeleinden.

In feite kan deze hack niet zomaar gebruikt worden aangezien je het mysqli command alleen met de juiste rechten kan doorvoeren.

Dit betekend dat de uitvoerder van het mysql command een aangemelde author, editor of beheerder moet zijn.

Maar hoe een hacker wel te werk kan gaan is als volgt, hij zet een url op je blog in een comment  (of e-mail) met een injectie code en zorgt ervoor dat je daarop kan klikken als aangemelde gebruiker met die rechten. Waardoor alsnog de data uit de database komt en via via in de handen van de hacker beland.

Dit wetende kun je het volgende doen:

1. Klik nooit op links die in 1 van  de comments op je website gezet zijn.

2. Update SEO by Yoast nu. De nieuwste versie zou een patch bevatten volgens de logs.

3. Beperk wie een author of editor is en informeer ze over punt 1.

4. Zorg ervoor dat je database niet te gemakkelijk bereikbaar is, evenals je admin.

5. Maak backups van je database waardoor je altijd je data terug kan halen als er iets met de database gebeurd.

Je kunt je WordPress website door wpbeveiligen laten beveiligen. Naast de controle op backdoors, updaten, beveiliging en het opschonen van gehackte websites zorgt wpbeveiligen voor de start van deze werkzaamheden voor een backup.

Zo ben je zeker dat de website bij updates die problemen veroorzaken niet zijn data verliest.

Hoe nuttig was dit artikel?

Vergeet niet te delen

0
Reacties

Deel je mening of stel een vraag:

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *