Ernstige kwetsbaarheid in populaire SEO-plugin voor WordPress

WordPress is een populair platform om websites te hosten. De open source software helpt gebruikers in korte tijd tegen relatief lage investering een website op te zetten. WordPress is niet alleen populair bij consumenten, maar ook bij kleinere bedrijven die een eigen website willen opzetten. De populaire plugin voor WordPress All in One SEO Pack blijkt echter een ernstig beveiligingsgat te bevatten.

Het lek is ontdekt door het beveiligingsbedrijf Sucuri Security, dat waarschuwt dat de kwetsbaarheid op twee verschillende manieren kan worden misbruikt. Allereerst kunnen aanvallers de beheerdersrechten overnemen van een beheerder, zonder dat de beheerder hiervan op de hoogte is.

Ernstige gevolgen
Dit kan ernstige gevolgen hebben. Beheerders kunnen via de All in One SEO Pack onder andere instellen per webpagina instellen welke titel en beschrijving in de zoekresultaten van bijvoorbeeld Google worden weergegeven. Dit soort instellingen kunnen door de aanvallers worden gewijzigd nadat zij de beheerdersrechten van een beheerder hebben overgenomen. Sucuri waarschuwt dat cybercriminelen de positie van bedrijven in de zoekresultaten van zoekmachines hierdoor aanzienlijk kunnen beïnvloeden.

Het probleem gaat echter verder. Het lek kan namelijk ook worden misbruikt in combinatie met een andere kwetsbaarheid, waardoor aanvallers een cross-site scripting (XSS) aanval kunnen opzetten. Een XSS aanval is een aanval waarbij de input die een webapplicatie zoals de All in One SEO Pack ontvangt (denk aan cookies of een URL) terecht komt in de data die naar een eindgebruiker wordt gestuurd.

Wachtwoorden wijzigen
Sucuri waarschuwt dat cybercriminelen via deze weg malafide Javascript-code kunnen afspelen in het dashboard van een WordPress-beheerder. In de praktijk kunnen aanvallers hierdoor aanzienlijke schade aanrichten. Zo kunnen zij het wachtwoord van het beheerdersaccount wijzigen. Niet alleen kan een beheerder hierdoor niet langer bij het dashboard om de website te beheren, ook kunnen de aanvallers tegelijkertijd de complete website wijzigen. Daarnaast kunnen aanvallers door malafide Javascript-code af te spelen een backdoor aanbrengen in bestanden die op de WordPress-website worden gehost. Dit stelt de criminelen in staat op een later moment terug te keren naar de website, zichzelf opnieuw toegang te geven tot het dashboard van WordPress en hier malafide activiteiten uit te voeren.

Maakt uw bedrijf gebruik van All in One SEO Pack? Dan kunt u een eenvoudige stap nemen om u tegen misbruik van het ernstige beveiligingsgat te beschermen. Het probleem is in versie 2.1.6 van de plugin verholpen. Sucuri adviseert bedrijven daarom zo snel mogelijk te updaten naar All in One SEO Pack 2.1.6.

WH