Zero-day kwetsbaarheid in Total Donations plugin

Zero-day kwetsbaarheid in Total Donations plugin

  • Nieuws
wpmasters

WordPress gebruikers die de premium plugin Total Donations gebruiken, worden dringend verzocht deze zo snel mogelijk deactiveren en verwijderen. Mikey Veenstra, threat analyst bij Wordfence, plaatste afgelopen vrijdag een waarschuwing op de Wordfence website.

Total Donations plugin

Total Donations is een commerciële plugin die ontwikkeld werd om via je WordPress site donaties in te zamelen en te beheren. De plugin wordt dan ook voornamelijk gebruikt door goede doelen, liefdadigheidsinstellingen en andere organisaties. Organisaties die nu een zeer populair doelwit zijn voor hackers.

Zero-day kwetsbaarheid

Er zou een zogeheten zero-day kwetsbaarheid in de plugin ontdekt zijn; een kwetsbaarheid waarvoor geen patch is. Volgens Wordfence wordt de zero-day kwetsbaarheid in Total Donations nu actief gebruikt om websites over te nemen. Pogingen (van zowel Wordfence als gebruikers) om de ontwikkelaars van de plugin te benaderen hebben vooralsnog niets opgeleverd; het project lijkt verlaten te zijn. En omdat de ontwikkelaar van de plugin al sinds mei 2018 inactief is, zal er waarschijnlijk ook geen patch meer verschijnen.

Volgens Veenstra bevat de code van de plugin een AJAX-eindpunt dat zowel de plugin zelf als de WordPress website blootstelt aan externe manipulatie. Het AJAX-eindpunt kan door praktisch elke aanvaller kan worden opgevraagd. Vervolgens kunnen allerlei core- en plugingerelateerde instellingen gewijzigd worden. Dat betekent in feite dat ze de hele website kunnen overnemen.

“Plugin geheel verwijderen”

CodeCanyon heeft de premium plugin inmiddels verwijderd, maar er zijn nog steeds gebruikers die de plugin gebruiken. Simpelweg de plugin deactiveren is volgens Veenstra niet voldoende. Het AJAX-eindpunt zit namelijk in een van de bestanden van de plugin. Dat betekent dat deactivatie de bedreiging niet elimineert; aanvallers kunnen het betreffende bestand rechtstreeks oproepen. Alleen door de plugin volledig te verwijderen (een WordPress plugin verwijderen doe je zo!) kun je je WordPress website beschermen tegen misbruik.

 

Lees ook: Is die WordPress plugin veilig? 15 redenen om een plugin toch maar niet te downloaden

 

De beste premium WordPress thema's in 1 pakket voor maar €89,-
Wil jij meer leren over Wordpress?

In de kennisbank vertellen we je alles over de belangrijkste onderwerpen

Ontdek kennisbank

  • Snel en gemakkelijk contact met een WordPress expert
  • Ontvang als eerste nieuwtjes & leuke acties
  • Overleg met andere WordPress fans

Join community
Cloud86 banner

Je WordPress vraag of probleem razendsnel opgelost met de hulp van een echte WordPress developer!

Join de grootste WordPress community van Nederland & stel je vraag via ons WordPress ticketsysteem.

Stel je vraag
Medaille-buddy
Laatste nieuws
3 achterhaalde SEO tactieken
Nieuws

3 achterhaalde SEO tactieken

Zoekmachines en hun algoritmes hebben een enorme ontwikkeling ondergaan de afgelopen jaren. De SEO tactieken die 10 of 15 jaar geleden heel

19 april, 2024
tijdbesparende WordPress SEO tips
Nieuws

5 tijdbesparende WordPress SEO tips

Zoekmachine optimalisatie (SEO) is noodzakelijk als je wil dat je WordPress website gevonden wordt. Het kan ook behoorlijk tijdrovend zijn, en tijd

17 april, 2024
Speculative Loading plugin voor WordPress
Nieuws

Speculative Loading plugin voor WordPress

Eind januari schreven we al dat WordPress twee nieuwe performance plugins had gelanceerd: Auto-sizes for lazy-loaded images en Speculation Rules. De laatstgenoemde

15 april, 2024

WP Handleiding bestaat uit een grote groep enthousiast WordPress specialisten en wij vinden eigenlijk dat iedereen zelf een website moet kunnen bouwen. Om deze reden bieden wij betaalbare WordPress eBooks aan waarmee je zelf stap voor stap een website kunt bouwen. En heb je iets waar je echt niet uitkomt? Vraag het dan via dit platform aan ons, wij helpen je graag verder in de wereld van WordPress.

info@wphandleiding.nl

Diensten

Kennisbank

Join de grootste WordPress community van Nederland

  • Krijg toegang tot onze WordPress Experts
  • Stel vrijblijvend je vragen aan je WordPress buddy
  • Ontvang het laatste WordPress nieuws

Stel gratis je vraag

Algemene voorwaarden | 2023 © WP Handleiding

Adverteren | Diensten | FAQ | Contact

Blijf op de hoogte van het laatste WordPress nieuws.

Schrijf je in voor onze wekelijkse nieuwsbrief.