Meer dan 1 miljoen WordPress-sites lopen groot risico
Meer dan een miljoen websites die van het cms WordPress gebruikmaken, lopen het risico gekaapt te worden door een zwakke plek in de plugin WP-Slimstat. De kwetsbaarheid is gevonden in versies van WP-Slimstat 3.9.5 en lager. Alleen de laatste editie 3.6 heeft hier geen last van.
Onderzoeker Marc-Alexandre Montpas van beveiligingsbedrijf Sucuri publiceerde dinsdag een waarschuwing. Hierin geeft hij aan een gat te hebben gevonden met een “heel hoog risico” waardoor hackers met een gerichte aanval de "geheime" sleutel kunnen breken om na het uitvoeren een SQL-injectie de website over te nemen.
[related_article id=”161920″]
Makkelijk te raden sleutel
WP-Slimstat gebruikt een geheime sleutel om data verstuurd vanaf de bezoekende computer te ondertekenen. Volgens Sucuri is de sleutel echter makkelijk te raden, omdat het niet meer is dan een aangepaste versie van de timestamp op het moment dat de plugin geïnstalleerd is.
Door een website als Internet Archive te gebruiken kan de sleutel in een kwestie van minuten geraden worden op basis van wanneer de website voor het eerst online verscheen. Volgens het team van Sucuri heb je met die informatie nog grofweg dertig miljoen mogelijke waardes over. Iets wat je in tien minuten uitrekent op een moderne computer.
Zodra de sleutel bekend is kun je een SQL-injectie uitvoeren. De veiligheidsonderzoekers zeggen dat de bug kan leiden tot het misbruiken van databases, het stelen van gevoelige gegevens als gebruikersnamen, wachtwoorden en zelfs de WordPress Secret Keys om de volledige website over te nemen.
Veel downloads
WP-Slimstat is een analytische tool die onder meer een realtime activiteitenlogboek van de website bijhoudt, maar ook e-mailrapporten, data-exports, platform- en browserdetectie en IP-geolocalisatie. Die plugin is beschikbaar in meerdere talen.
Volgens de bibliotheek van WordPress is WP-Slimstat meer dan 1,3 miljoen keer gedownload. Wanneer je op jouw website er ook gebruik van maakt doe je er verstandig aan ervoor te zorgen dat je cms en plugins up-to-date zijn.