Hackers zoeken altijd de zwakke plek van een website. Deze kan hen immers in staat stellen kwaadaardige software te installeren. Dat is dan een beveiligingslek. Een recent lek betreft Duplicator, een programma (plugin) waarmee webbouwers een WordPress website op het internet kunnen plaatsen. Duplicator is inmiddels voor miljoenen sites gebruikt. Vraag dus even aan je webdesigner of Duplicator ook voor jouw site is gebruikt. Zo ja, dan is dit bericht het lezen waard.

Hoe werkt Duplicator

Webdesigners bouwen een nieuwe site vaak eerst in een ontwikkelomgeving. Zie het als een scheepdsok: zodra het schip klaar is, kan het te water worden gelaten. Zo gaat het met je site ook: zodra de bouw klaar is, kan het op internet worden gepubliceerd. De website moet eigenlijk worden ‘verhuisd’.

De WordPress plugin Duplicator is dan een zeer handig hulpmiddel. Een soort verhuisbedrijf eigenlijk. Het werkt door één zip-archief te maken, met daarin de volledige site, en één php-bestand (installer.php), dat zorgt voor de installatie.

Het enige wat een webdesigner hoeft te doen, is beide bestanden op de nieuwe plek (server) te zetten, het php-bestand uit te voeren, een handvol vertrouwelijke gegevens – waaronder een wachtwoord – in te vullen, en de website in gebruik te nemen.

Het beveiligingslek

In juli 2018 ontdekten twee beveiligingsonderzoekers van Synacktiv, Thomas Chauchefoin en Julien Legras, een beveiligingslek. Nadat een site is verhuisd, verwijdert Duplicator namelijk niet zelf de twee bestanden. Ofwel: het originele zip-archief en het php-bestand blijven op de server staan.

Indien de webdesigner deze bestanden niet handmatig verwijdert, kan een hacker op elk gewenst moment toegang krijgen tot het bestand installer.php. Door zijn eigen database-inloggegevens in te voeren, kan de hacker controle krijgen over de website en, indirect, over de onderliggende computer (server).

Gerepareerde versie

Het team achter de Duplicator plugin, die bijna 12 miljoen keer is gedownload, en waarschijnlijk nog vele malen vaker is gebruikt, repareerde het beveiligingslek op 24 augustus 2018 met de release van Duplicator 1.2.42. Alle voorgaande versies worden dan ook als onveilig beschouwd.

Informeer bij je webdesigner

Heb je een WordPress website, dan doe je er goed aan even bij je webdesigner te informeren of Duplicator ook voor jouw site is gebruikt. Mocht dat het geval zijn, vraag dan of de originele bestanden direct na de verhuizing zijn verwijderd. Als dat zo is, loop je waarschijnlijk niet veel risico. Als de bestanden niet meteen zijn verwijderd, is het op z’n minst raadzaam dit alsnog te doen.

Daarnaast zou ik, met een goede malware scanner, de site, maar ook de server, controleren op kwaadaardige software. Zelf gebruik ik hiervoor MalCare.

Meer informatie

Wil jij – of je webbouwer – meer weten of dit specifieke beveiligingslek, dan kun je het beveiligingsadvies van de twee onderzoekers nalezen. In dit document wordt ook getoond (proof of concept, POC) hoe de Duplicator plugin precies kan worden misbruikt.

Eens te meer blijkt hoe belangrijk het is de techniek van je website up-to-date te houden. En om goede beveiligingstechniek te installeren.

Mocht je interesse hebben in de mogelijkheden die ik je kan bieden, neem dan gerust vrijblijvend contact met me op.

Geef een reactie