In de geupdate versie van Duplicator, een WordPress plug-in met miljoenen downloads, is een kwetsbaarheid binnen de Remote Code Execution (RCE) opgelost. In deze blog zullen we je meer vertellen over de gevonden kwetsbaarheid van de Duplicator versie 1.2.42. Ook vertellen we jou wat je kunt doen wanneer jij denkt dat deze kwetsbaarheid een risico is voor jouw website.
De Duplicator plugin is gratis te downloaden in WordPress. De Duplicator plugin wordt gebruikt om een website naar een ander domein te kopiëren of verhuizen. Ook is het een eenvoudig back-up programma van je website.
De fout binnen Duplicator wordt zichtbaar wanneer je Duplicator gebruikt om een back-up van je WordPress website te herstellen. Bij het maken van een back-up van je website worden er twee bestanden gegenereerd die beide nodig zijn om de inhoud van je site te herstellen: een Archive ZIP-bestand, met de inhoud van je website, en de installer.php, het bestand dat de website uitpakt en configureert. Wanneer deze bestanden in de nieuwe domein worden geplaatst en je de nieuwe website met de installer.php bezoekt start het herstelproces van de website.
Na het overzetten van de website moet de installer.php verwijderd worden. Bij het inloggen op de nieuwe domein wordt er een waarschuwing weergegeven die je eraan herinnert om de overgebleven installatie bestanden te verwijderen. Deze waarschuwing wordt niet voor niks gegeven. Het kan gevaarlijk zijn om de installatie scripts op een gebruikte website te laten staan.
Waarschuwing om de installatie bestanden te verwijderen
Wanneer de installatie scripts nog op de website staan en je gebruik maakt van de Duplicator plugin versie lager 1.2.42 of lager, is je website kwetsbaar voor een RCE aanval. Bij een aanval op de RCE kan er een willekeurige code op een website uitgevoerd worden, waardoor WordPress sites uitgeschakeld kunnen worden. Aanvallers schakelen WordPress websites uit door het wp-config.php bestand te verwijderen of te overschrijven.
Er zijn twee stappen die gezet kunnen worden om het risico op een aanval te verkleinen. De eerste stap is om de hoofdmap van je website te controleren en het installer.php bestand te verwijderen. Ook wordt het advies gegeven om geen ongebruikte of oude bestanden op de live-sitemap te laten staan. Alle inactieve bestanden kunnen een risico vormen voor een aanval.
De andere stap is om Duplicator te updaten. Wanneer er een beveiligingslek of een andere kwetsbaarheid ontdekt wordt, wordt er in de updates daarna geprobeerd dit op te lossen. Door de meest geupdate versie te hebben loop je minder risico om aangevallen te worden. De kwetsbaarheid is in de nieuwste update verholpen.
Wanneer je het idee hebt dat jouw website is aangevallen, dan moet er een nieuw wp-config.php bestand met de juiste database gegevens aangemaakt worden. Een wp-config.php bestand is het belangrijkste bestand van jouw WordPress installatie. Dit bestand bevat informatie over je website, zoals de database gegevens en andere instellingen.
Wil je meer informatie of heb je vragen over de kwetsbaarheid van de Duplicator plugin van WordPress? Neem dan contact met ons op!
