WordPress SQL lek in versie 4.8.2

WordPress SQL lek in versie 4.8.2

Illustratie door Webdesign

WordPress SQL lek in versie 4.8.2

Er is een lek gevonden in de WordPress versie 4.8.2, in dit lek is een SQL injectie mogelijk waardoor hackers je hele site over kunnen nemen. Het is daarom belangrijk dat je de hosting direct update naar de laatste WordPress versie 4.8.3. WordPress updaten kan binnen enkele klikken via het admin panel wanneer de schrijfrechten aanstaan. Voor meer informatie kan je op de link hiernaast klikken.

Dinsdag 31 oktober is hiervoor een security release voor uitgekomen met versienummer 4.8.3. Deze release timmert het lek dicht zodat hier geen misbruik gemaakt meer van kan worden. Als er een programmeer fout binnen een thema of een plugin dan kon hier misbruik van gemaakt worden.

WordPress en beveiliging

WordPress hosting wordt door een groot deel van klanten van MijnHostingPartner.nl gebruikt, omdat het Content Management Systeem(CMS) makkelijk te gebruiken en te installeren is. Dankzij de populariteit hiervan is het echter ook een aantrekkelijk doelwit voor hackers. Met een open source of gratis te gebruiken CMS wat populair is heb je veel programmeurs die samenwerken om een uiteindelijk product neer te zetten. De researcher die de lek heeft gevonden is Anthony Ferrara die het gemeld heeft via het HackerOne bug bounty platform. Een bug bounty systeem maken veel websites en bedrijven gebruik van zoals ook Amazon of Netflix. Dit is een systeem waar mensen kunnen aangeven als er een bug of lek is gevonden in hun website hosting of applicatie. Wat het bedrijf hier verder mee doet is afhankelijk aan het bedrijf zelf.

Anthony Ferrara melde het lek op 20 september 2017 aan het WordPress Team. Hierna is het probleem een paar weken genegeerd door het WordPress team en alleen na het dreigen van Anthony om dit publiekelijk te maken werd er de nodige aandacht aan gegeven. Het eerste plan van het WordPress team was om een hotfix uit te brengen, deze hotfix zou echter een geschatte 1.2 miljoen regels aan code breken. Hierna na veel over en weer reageren is op 31 oktober 2017 de uiteindelijke oplossing uitgebracht.

Wat moeten we hiervan meenemen?

Het risico wat altijd gelopen wordt met Open Source software op een schaal zoals WordPress is dat dit soort zaken kunnen gebeuren. Wat echter zorgelijk was aan dit lek is dat dit 5 weken niet gerepareerd is en dus 5 weken ~ 25 % van alle CMS sites op het internet risico liepen. WordPress heeft namelijk niet een fulltime security team om dit soort lekken op een tijdige manier op te lossen. Anthony sluit de melding met een voorzichtige maar toch hoopvolle blik op toekomstige meldingen.