Security update voor Loginizer plugin

loginizer plugin

WordPress.org heeft een geforceerde security update uitgerold voor de Loginizer plugin, die op meer dan 1 miljoen WordPress websites gebruikt wordt. Dit vanwege twee ernstige kwetsbaarheden in de code van de plugin.

Over de Loginizer plugin

De gratis versie van de Loginizer plugin biedt bescherming tegen zogeheten brute force aanvallen, de mogelijkheid om IP-adressen te whitelisten of te blacklisten, en om gefaalde loginpogingen te loggen. De premium versie biedt aanvullende security features, zoals tweefactor verificatie, reCAPTCHA en opties om de loginpagina te beschermen (check ook deze 3 manieren om je WordPress login te beveiligen).

Hosting en Webhosting bij Combell

Kwetsbaarheden

Half oktober ontdekte security onderzoeker Slavco Mihajloski een geauthentiseerde SQL kwetsbaarheid en een XSS kwetsbaarheid, waarna hij de ontwikkelaars van de plugin op de hoogte bracht. Mihajloski verbaasde zich over hoe het mogelijk was dat zo’n ernstig veiligheidsprobleem zo lang onopgemerkt kon blijven, zeker omdat het gaat om een security plugin met meer dan 1 miljoen gebruikers en overwegend zeer positieve recensies. Loginizer werd bovendien in juli van dit jaar overgekocht door Softaculous, en onderging voorafgaand aan de acquisitie audits door meerdere security bedrijven. “Wanneer een plugin in het [WordPress] repository wordt opgenomen moet deze worden beoordeeld, maar wanneer wordt dat nog een keer gedaan?” schreef Mihajloski. “Iedereen begint met 0 actieve installaties, maar wat gebeurd er bij 1k, 10k, 50k, 100k, 500k, 1mil+ actieve installaties?” Dit is zeker een kwestie waar het Plugins team van WordPress zich over zal moeten buigen.

Forced security update

Op 16 oktober werd Loginizer 1.6.4 uitgerold. Deze update bevatte twee patches voor de kwetsbaarheden. Echter, gebruikers die niet direct updaten (en dat zijn er nogal wat) blijven risico lopen. Gezien de ernst van de kwetsbaarheden besloot het Plugins team van WordPress.org om de security update automatisch te installeren op alle websites die gebruik maken van de Loginizer plugin. Er wordt over het algemeen alleen in risicovolle gevallen gekozen voor dergelijke ‘forced security updates’.

Korting op WordPress handleiding

Geef een reactie