WordPress verwijdert 10 onveilige WooCommerce plugins

onveilige woocommerce plugins

WordPress heeft vorige week 10 plugins voor webwinkels verwijdert die via WordPress.org werden aangeboden. Het ging om WooCommerce plugins van Multidots die beveiligingslekken bevatten en die al geruime tijd niet meer door de ontwikkelaar waren geüpdatet.

Multidots

Multidots is een bedrijf dat zich specialiseert in het ontwikkelen van WooCommerce plugins, met kantoren in de Verenigde Staten en India. Ze bouwen ook custom extensies en add-ons voor WooCommerce. Zo hebben ze plugins gemaakt voor het delen van content via WhatsApp en Viber, voor het tonen van cookiemeldingen. Ze hebben tevens een teller uitgebracht voor bezoekersaantallen.

Hosting en Webhosting bij Combell

10 onveilige WooCommerce plugins

Het ging om de volgende plugins:

  • WooCommerce Category Banner Management (3.000+ actieve installaties) – Unauthenticated Settings Change
  • Add Social Share Messenger Buttons Whatsapp and Viber (500+ actieve installaties) – Cross-site Request Forgery (CSRF)
  • Advance Search for WooCommerce (200+ actieve installaties) – Stored Cross-site scripting (XSS)
  • Eu Cookie Notice (600+ actieve installaties) – Cross-site request forgery (CSRF)
  • Mass Pages/Posts Creator (1.000+ actieve installaties) – Authenticated Stored Cross-Site scripting (XSS)
  • Page Visit Counter (10.000+ actieve installaties) – SQL Injection
  • WooCommerce Checkout For Digital Goods (2.000 actieve installaties) – Cross-site request forgery (CSRF)
  • WooCommerce Enhanced Ecommerce Analytics Integration with Conversion Tracking (1.000+ actieve installaties) – Cross-site request forgery (CSRF) en Stored Cross-site scripting (XSS)
  • WooCommerce Product Attachment (800+ actieve installaties) – Authenticated stored Cross-site scripting (XSS)
  • Woo Quick Reports (300+ actieve installaties) – Stored Cross-Site Scripting (XSS)

Deze 10 plugins waren samen goed voor zo’n 20.000 installaties. De kwetsbaarheden maakten het mogelijk voor hackers om o.a. toegang te krijgen tot de database van de betreffende websites. De problemen werden ontdekt voor het beveiligingsbedrijf Threatpress, dat Multidots meteen waarschuwde. Maar omdat Multidots niet aangaf wanneer de onveilige WooCommerceplugins geüpdatet zouden worden, besloot Threatpress eveneens WordPress op de hoogte te stellen. Vorige week werden de plugins dan ook van WordPress.org afgehaald. De websites die de plugins reeds geïnstalleerd hadden waren echter nog steeds kwetsbaar, omdat alleen website beheerders hun plugins kunnen deactiveren.

Updates

Inmiddels heeft Multidots de problemen verholpen. De 10 WooCommerce plugins zijn geüpdatet en tevens weer gewoon via WordPress.org te downloaden. We mogen ervan uit gaan dat ze in de toekomst meer aandacht zullen besteden aan het up-to-date houden van hun plugins. Dat is tenslotte wel iets dat je van een professionele plugin ontwikkelaar mag verwachten!

 

Lees ook: Beveiligen van je webshop: 12 tips

 

Korting op WordPress handleiding

Geef een reactie