Security update voor Loginizer plugin

Security update voor Loginizer plugin

  • Nieuws, Plugins
wpmasters

WordPress.org heeft een geforceerde security update uitgerold voor de Loginizer plugin, die op meer dan 1 miljoen WordPress websites gebruikt wordt. Dit vanwege twee ernstige kwetsbaarheden in de code van de plugin.

Over de Loginizer plugin

De gratis versie van de Loginizer plugin biedt bescherming tegen zogeheten brute force aanvallen, de mogelijkheid om IP-adressen te whitelisten of te blacklisten, en om gefaalde loginpogingen te loggen. De premium versie biedt aanvullende security features, zoals tweefactor verificatie, reCAPTCHA en opties om de loginpagina te beschermen (check ook deze 3 manieren om je WordPress login te beveiligen).

Kwetsbaarheden

Half oktober ontdekte security onderzoeker Slavco Mihajloski een geauthentiseerde SQL kwetsbaarheid en een XSS kwetsbaarheid, waarna hij de ontwikkelaars van de plugin op de hoogte bracht. Mihajloski verbaasde zich over hoe het mogelijk was dat zo’n ernstig veiligheidsprobleem zo lang onopgemerkt kon blijven, zeker omdat het gaat om een security plugin met meer dan 1 miljoen gebruikers en overwegend zeer positieve recensies. Loginizer werd bovendien in juli van dit jaar overgekocht door Softaculous, en onderging voorafgaand aan de acquisitie audits door meerdere security bedrijven. “Wanneer een plugin in het [WordPress] repository wordt opgenomen moet deze worden beoordeeld, maar wanneer wordt dat nog een keer gedaan?” schreef Mihajloski. “Iedereen begint met 0 actieve installaties, maar wat gebeurd er bij 1k, 10k, 50k, 100k, 500k, 1mil+ actieve installaties?” Dit is zeker een kwestie waar het Plugins team van WordPress zich over zal moeten buigen.

Forced security update

Op 16 oktober werd Loginizer 1.6.4 uitgerold. Deze update bevatte twee patches voor de kwetsbaarheden. Echter, gebruikers die niet direct updaten (en dat zijn er nogal wat) blijven risico lopen. Gezien de ernst van de kwetsbaarheden besloot het Plugins team van WordPress.org om de security update automatisch te installeren op alle websites die gebruik maken van de Loginizer plugin. Er wordt over het algemeen alleen in risicovolle gevallen gekozen voor dergelijke ‘forced security updates’.

De beste premium WordPress thema's in 1 pakket voor maar €89,-
Wil jij meer leren over Wordpress?

In de kennisbank vertellen we je alles over de belangrijkste onderwerpen

Ontdek kennisbank

  • Snel en gemakkelijk contact met een WordPress expert
  • Ontvang als eerste nieuwtjes & leuke acties
  • Overleg met andere WordPress fans

Join community
Cloud86 banner

Je WordPress vraag of probleem razendsnel opgelost met de hulp van een echte WordPress developer!

Join de grootste WordPress community van Nederland & stel je vraag via ons WordPress ticketsysteem.

Stel je vraag
Medaille-buddy
Laatste nieuws

WP Handleiding bestaat uit een grote groep enthousiast WordPress specialisten en wij vinden eigenlijk dat iedereen zelf een website moet kunnen bouwen. Om deze reden bieden wij betaalbare WordPress eBooks aan waarmee je zelf stap voor stap een website kunt bouwen. En heb je iets waar je echt niet uitkomt? Vraag het dan via dit platform aan ons, wij helpen je graag verder in de wereld van WordPress.

info@wphandleiding.nl

Diensten

Kennisbank

Schakel de hulp in van een echte Wordpress expert!

Razendsnel opgelost met de hulp van een echte WordPress developer!

Stel gratis je vraag

Algemene voorwaarden | 2023 © WP Handleiding

Adverteren | Diensten | FAQ | Contact

Blijf op de hoogte van het laatste WordPress nieuws.

Schrijf je in voor onze wekelijkse nieuwsbrief.