Zijn premium / pro plugins veiliger dan de gratis versie?

Zijn premium / pro plugins veiliger dan de gratis versie?
datum-geschreven 29 jun 2019

Het hoort niet uit te maken of je een premium of gratis versie van een plugin gebruikt. Ook de gratis versie moet veilig zijn! Dat is de verantwoordelijkheid die de pluginbouwer heeft.

Dat is hoe wij erover denken.

Maar…

Helaas zijn wij diverse voorbeelden tegengekomen in die uitwijzen dat een premium / pro plugin eerder ge-update wordt bij een lek dan de gratis variant.

Bij diverse plugins worden de lekken maandenlang niet opgelost in de gratis versie!!

Enkele voorbeelden waarbij de premium / pro versie veiliger is dan de gratis versie:

WordFence Security

WordFence is een plugin die je WordPress website beveiligt. En ja, de gratis versie is ook behoorlijk veilig en up-to-date.
Maar..

ze updaten de gratis versie eens per maand

Zoals ze het zelf zeggen “every thirty days“.

De premium / pro versie waar je voor betaald krijgt live updates. Dus direct wanneer het nodig is. Zowel de bestanden als de firewall die hacks tegenhouden wordt live up-to-date gehouden.

iThemes Security

Ook een plugin waarmee je WordPress beveiligt. iThemes Security geeft de betaalde versie veel meer aandacht dan de gratis variant. Een beveiligingsupdate wordt vrij vlot doorgevoerd in de premium versie maar..

soms blijft een exploit weken tot maanden hangen in de gratis versie

Diverse andere plugins

Er zijn veel voorbeelden van plugins waar lekken ontstaan die de pluginbouwers gemeld krijgen.
De patch (fix tegen de hack) wordt dan na 5-10 dagen doorgevoerd in de premium / pro versie maar de gratis versie blijft achter.

Soms blijft een lek maanden in de plugin zitten nadat een lek bekend is waarbij die zelfs uit de WordPress plugins database verdwijnt

Het goede nieuws

Wanneer gratis plugins op WordPress.org staan worden ze verwijderd totdat het lek gemaakt is.
Er zijn diverse partijen die de lekken melden bij WordPress en er is een zero tolerantie beleid wat betreft lekke plugins.

Een lek / exploit, wat moet ik me daarbij voorstellen?

Enkele voorbeelden van recente lekken in plugins:

  1. De administrator lek
    Het komt geregeld voor dat een lek in een plugin toestaat dat er een administrator account aangemaakt wordt.
    Als een hacker of script toegang heeft met administrator-rechten, kan die alles doen wat hij wil.
    Meestal wordt er reclame in je website gezet, of een script ge-upload waarmee reclame via je website verzonden kan worden naar duizenden adressen..
    En daarna worden de overige administratoren verwijderd. Kortom, je komt niet meer in je website om de hack ongedaan te maken.
    Het spreekt voor zich dat dit lek bij bekend raken zo snel mogelijk opgelost moet worden en niet weken tot maanden in een website moet zitten.
  2. De database injectie
    Plugins hebben vaak invoervelden op de front-end (Voorkant) van je website. Denk aan review plugins, contact formulieren e.d.
    Als die velden niet goed beveiligd zijn, kan een hacker of script die simpelweg misbruiken om data in je database te zetten.
    Binnen 1 seconden kan zo’n script dan administratoren aanmaken in de database, tekstwijzigingen doorvoeren in je gehele website met alle gevolgen van dien.
  3. De nieuwsbrief hack
    Heb je een nieuwsbrief formulier? Waar bezoekers zich in kunnen schrijven? In het verleden zijn er lekken in zulke plugins gevonden waardoor de hacker zijn e-mailadres kon toevoegen als aanmeldadres. Dat betekent dat iedere aanmelding van een bezoeker ook bij hem bekend werd. Je vraagt je af wat een hacker daarmee moet, maar grote aantallen e-mailadressen met namen zijn geld waard. Daar wordt reclame naar gestuurd. Er zijn personen die lijsten met e-mailadressen en voor+achternamen opkopen.
    Ook weer een lek waarvan je niet wilt dat die misbruikt wordt. Je hebt het niet snel door maar je gebruikers hebben er veel last van aangezien die de spam binnenkrijgen.
  4. Het WooCommerce lek
    Plugins die je webshop verbeteren hebben vaak toegang tot de database. In je database staan alle accounts van je klanten. Er zijn diverse lekken voorgekomen in het verleden waarbij plugins hackers toegang gaven tot de database en alle klant-informatie.
    Het behoeft geen uitleg dat zo’n hack direct of z.s.m gefixt moet worden wanneer die eenmaal bekend wordt!

Wie test mijn website op lekken?

Je verwacht natuurlijk dat jouw webshop niet vaak getest wordt. En dat een lek daardoor niet zo snel misbruikt kan worden.

Helaas werkt dit niet zoals je denkt.

Wanneer een lek bekend wordt, schrijven hackers scripts die als volgt werken:
1. Het script zoekt op Google naar webshops (Daar sta jij ook tussen)
2. Het script doet aanvragen op de websites naar de bekende lekke plugins
3. Wanneer de lekke plugins gevonden wordt, gebruik het script dat bekende lek om een hack uit te voeren

Veilig met een beveiligingsplugin, toch?

Zelfs wanneer je website beveiligd is, kan zo’n lek nog misbruikt worden. Beveiliging staat namelijk de (uit)werking van plugins toe, anders zou je website niet kunnen functioneren! De plugins up-to-date houden zodat er geen lekken in zitten is daarom erg belangrijk.

Conclusie

Nu je weet dat de bouwers van plugins de premium / pro versie eerder veilig maken.. kun je overwegen om een premium te kopen. Zeker als je afhankelijk bent van je website voor inkomsten, of als je een webshop hebt met veel klanten.

Premium is nog altijd geen garantie voor 100% veiligheid, maar uit de voorbeelden is gebleken dat het wel een verschil maakt.

 

Meer WordPress: , , ,

De meeste artikelen worden geschreven door Mathieu Scholtes, de eigenaar van WPBeveiligen. Op de hoogte blijven van het laatste WordPress nieuws? WordPress tips? WordPress aanbiedingen?
Connect dan op Linked-in!

Heb je een vraag? Tip of gedachte? Deel die!

Abonneer
Breng me op de hoogte
guest
8 Reacties
Inline Feedbacks
Bekijk alle reacties
Vincent

Ik beheer een website van een sportclubje. Is het echt nodig om van alle plugins die je gebruikt de premium versie te nemen? Je moet dan ieder jaar een bedrag betalen om te kunnen blijven updaten. Je bent dan al gauw een paar honderd euro per jaar kwijt aan de licenties.

Simon

Het gaat hier om een Zero-Day Vulnerability in ThemeREX.
“For the time being, we urge that site owners running the ThemeREX Addons plugin remove it from their sites immediately. Sites running Wordfence Premium have been protected from attacks against this vulnerability since February 18th, 2020. Sites running the free version of Wordfence will receive the firewall rule update on March 19th, 2020.”
Nou, zo heb je dus niets aan de gratis versie. Dat bevestigt de beweringen in dit artikel. In ieder geval is het verstandig als je een beveiligensplugin gebruikt, altijd de premium versie te nemen.
Link: https://www.wordfence.com/blog/2020/02/zero-day-vulnerability-in-themerex-addons-plugin-exploited-in-the-wild/

Frans

Je kunt beter een goed thema met ingebouwde pagebuilder kopen. Dan heb je verder vrijwel geen plugins meer nodig, (hoogstens) een beveiligingsplugin. Een goed voorbeeld hiervan is Themify Ultra. Dit thema wordt geregeld ge-update.
De kosten per jaar vallen ook mee ongeveer 55 dollar per jaar voor een onbeperkt aantal sites.

Marcel

Als je de betaalde versie van iThemes Security of een andere goede betaalde security plugin gebruikt, worden dan de lekken in andere gratis plugins ontdekt? Zodat je met de gratis plugins minder risico loopt?

Marco Vaals

het verbaast me hoeveel plugins een jaarlijke betaling verwachten. ik ontwerp websites voor mijn klanten en wanneer ik die vertel dat ze jaarlijks pluginkosten aan mij of aan themeforest moeten betalen vinden ze dat vreemd.
heb je daar een tip voor? ik weet wel dat er ook unlimited licenties zijn maar die zijn behoorlijk prijzig.