We volgen nieuws omtrent beveiligingslekken in software graag op de voet. We zagen voorbij komen dat de veelgebruikte WordPress-plugin WP GDPR Compliance een kritiek lek bevat. Gebruik je deze plugin, update dan zo snel mogelijk naar versie 1.4.3 om verder misbruik te voorkomen!
De ontwikkelaars van de plugin hebben een uitgebreide toelichting op het probleem gegeven en adviseren dringend om naar versie 1.4.3 te updaten. Ook de bekende beveiligingsplugin Wordfence heeft al een analyse over de kwetsbaarheid geschreven. Check zeker die posts voor achtergrondinformatie.
Gebruik je de plugin?
Controleer in je WordPress-dashboard eerst of je deze plugin gebruikt. Als dat niet zo is, dan is hoef je de stappen hieronder niet te doorlopen.
Snel en eenvoudig de plugin updaten
Het gemakkelijkst is om de plugin via het dashboard van je WordPress-applicatie te updaten. Volg de daarvoor de onderstaande stappen.
- Klik links in het menu op Plugins.
- Gebruik je een versie ouder dan 1.4.3, dan zal er bij de plugin een melding staan dat er een update beschikbaar is.
- Klik daar op nu bijwerken om de update uit te voeren.
Hoe check ik of mijn website is getroffen?
Als je de plugin hebt geüpdatet, is het belangrijk om te controleren of er geen misbruik heeft plaatsgevonden. Je kunt dit op een aantal manieren ontdekken.
Onbereikbare website
Je website kan onbenaderbaar worden en een 500 error teruggeven. Als je dan in de error log in DirectAdmin kijkt, kan er naar voren komen dat het core-bestand class-oembed.php is aangepast. Check bij een onbereikbare site deze stappen om de foutmelding te vinden en op te lossen.
Ook kan er het malafide bestand wp-cache.php in de root van je WordPress-installatie zijn gezet. Doorgaans de /public_html/-map, tenzij je WordPress in een submap daarvan (e.g. /public_html/blog/) hebt geïnstalleerd. Verwijder dit bestand via de File Manager van DirectAdmin of een FTP-programma.
Malafide gebruiker toegevoegd
Daarnaast kan er door het lek in deze plugin een malafide beheerder aan je WordPress-website zijn toegevoegd. Kenmerkend is dat die beheerders dan vaak t2trollherten of t3trollherten als naam hebben. Sucuri geeft aan ook beheerders met de naam superuser en variaties daarop te hebben gezien.
Het is dus verstandig om te checken of er binnen je installatie beheerders aanwezig zijn met deze of andere verdachte namen, die jij niet zelf hebt toegevoegd. Dat kan door bijvoorbeeld onderstaande stappen te volgen.
- Log in op je WordPress-dashboard en ga naar Gebruikers.
- Klik op Beheerders en check of er een nieuwe gebruiker is toegevoegd.
- Achter ‘Beheerders’ staat het aantal beheerders vermeld. Komt dat aantal overeen met het aantal gebruikers dat wordt weergegeven? Dan is de kans groot dat er geen extra beheerder is toegevoegd.
Komt het aantal niet overeen of wil je zeker weten dat het aantal beheerders echt overeenkomt met wat in de database staat? Log dan in op je database via phpMyAdmin (https://jedomeinnaam.nl/phpmyadmin/). De inloggegevens vind je in de wp-config.php van je WordPress-installatie (DB_USER en DB_PASSWORD).
Eenmaal ingelogd ga je naar de tabel ‘wp_users’ tabel en bekijk je hoeveel gebruikers daar staan. Komt dit aantal overeen met wat er in je WordPress-dashboard bij de gebruikers stond? Mooi, er zijn geen malafide beheerders in je installatie. Je bent klaar!
Wel een malafide gebruiker gevonden?
Als je wel een malafide gebruiker met de naam t2trollherten of t3trollherten hebt gevonden, dan adviseren we je om het onderstaande te doen.
- Maak in DirectAdmin een backup via ‘Create/Restore Backups‘.
- Als de backup klaar is, log je in op phpMyAdmin van je database.
- Voer nu in phpMyAdmin via het tabblad ‘SQL’ de volgende query uit:
SELECT @T2 := `ID` FROM `wp_users` WHERE `user_login` = 't2trollherten';
DELETE FROM `wp_users` WHERE `ID` = @T2;
DELETE FROM `wp_usermeta` WHERE `user_id` = @T2;
SELECT @T3 := `ID` FROM `wp_users` WHERE `user_login` = 't3trollherten';
DELETE FROM `wp_users` WHERE `ID` = @T3;
DELETE FROM `wp_usermeta` WHERE `user_id` = @T3;
Deze query verwijdert de betreffende gebruikers volledig uit je database. Om er zeker van te zijn dat je de juiste hebt verwijderd, kun je de ‘wp_users’-tabel en de gebruikers in je WordPress-dashboard nogmaals nalopen.
Aanvullende adviezen
Bekijk ook zeker deze maatregelen voor het beveiligen van WordPress. Vraag je je af hoe je malware kunt herkennen, raadpleeg dan dit artikel. Loop je vast of heb je vragen, neem gerust contact op met onze helpdesk voor advies!