De Rich Reviews plugin werd op 11 maart 2019 uit het WordPress.org directory verwijderd. Dit werd gedaan wegens een beveiligingsprobleem. Nu blijkt dat er toch nog actief misbruik wordt gemaakt van de XSS kwetsbaarheid in de plugin. Wordfence schat dat de plugin nog zo’n 16.000 actieve installaties heeft. Deze websites zijn allemaal kwetsbaar. Gebruikers worden dan ook dringend geadviseerd om de plugin zo snel mogelijk te verwijderen.
Problemen met de Rich Reviews plugin
Twee weken geleden meldde een gebruiker van de Rich Reviews plugin dat 3 van de 4 websites die de plugin gebruikten, geïnfecteerd waren met redirect scripts. Het verwijderen van de plugin verhielp het probleem, zo meldde ze. Nuanced Media, de auteur van de plugin, reageerde op haar post dat ze werkten aan een nieuwe versie:
“We werken al een tijdje aan een algehele rewrite van de plugin, maar iemand wilde blijkbaar dat we sneller werken en besloot onze plugin te misbruiken om malware naar buiten te brengen. We gaan er nu vaart achter zetten en hopen de plugin (vernieuwd en veilig) binnen de komende twee weken online te hebben.”
Toch geen patch
Vreemd genoeg leek er geen haast te zijn om het lek dat momenteel misbruikt wordt te patchen. Nog geen week nadat gebruikers ervan werden verzekerd dat er een nieuwe versie aankwam, kondigde Nuanced Media aan dat ze per direct stoppen met de actieve ondersteuning en ontwikkeling van Rich Reviews.
Nuanced Media CEO Ryan Flannagan noemde de recente wijzigingen van de zakelijke beoordelings-richtlijnen van Google als de reden: “Google heeft besloten om alle verkopers recensies die bedrijven op hun eigen URL weergeven uit de organische zoekresultaten te verwijderen. Op basis van deze informatie hebben we alle actieve ontwikkelingen en ondersteuning van Rich Reviews stopgezet. Onze excuses voor het ongemak.”
Er werd niets gezegd over de kwetsbaarheid of het recente misbruik van het lek in de Rich Reviews plugin. Gebruikers moeten er echter vanuit gaan dat er geen patch meer zal verschijnen. Degenen die nog gebruik maken van Rich Reviews, kunnen de plugin het beste deactiveren en verwijderen.
Lees ook: Een WordPress plugin verwijderen doe je zo!
