Opnieuw is de WP Live Chat Support plugin getroffen door een ernstig lek dat gevolgen kan hebben voor de veiligheid van vele Wordpress websites. De kwetsbaarheid in de plugin stelt hackers in staat om code toe te voegen aan de website waarmee gebruikers worden doorverwezen naar malafide websites. Er is inmiddels een update beschikbaar echter is deze in veel websites nog niet doorgevoerd.

Hulp nodig met uw website of webshop? Chat met onze experts of stuur ons een bericht! Ik stuur een bericht!

Wat is WP Live Chat Support?

WP Live Chat Support is een extensie, of plugin, waarmee, zoals de naam al aangeeft, een chat functionaliteit toegevoegd kan worden aan de Wordpress website. Het installeren van deze plugin is eenvoudig en inmiddels maken meer dan 50.000 Wordpress websites gebruik van deze plugin. Op de support pagina van de desbetreffende plugin wordt inmiddels melding gemaakt van Wordpress websites die getroffen zijn door het lek en hier de nodig problemen van ondervinden.

Wat is het probleem met de plugin?

Een plugin of extensie is opgebouwd uit verschillende onderdelen die verantwoordelijk zijn voor het correct en veilig functioneren van de code. Door gebruik te maken van specifieke standaarden worden bijvoorbeeld belangrijke functies, waarmee bijvoorbeeld gebruikers authenticatie wordt geregeld, beschermt en afgeschermt van reguliere bezoekers of derden (kwaadwillenden / hackers).

Het probleem in de WP Live Chat Support plugin zit hem in de manier waarop de "admin_init" hook kan worden aangeroepen. Het is namelijk mogelijk om deze via een admin URL aan te roepen en de code zijn werk te laten doen. Dat klinkt nog niet heel spannend, echter roept deze "admin_init" hook een andere actie genaamd "wplc_head_basic" aan. Dit onderdeel kan de instellingen van de plugin aanpassen zonder dat hierbij een authenticatie van de gebruiker plaatsvindt.


Waarom wordt uw website gehackt?

Waarom wordt uw website gehackt?

Het is voor bijvoorbeeld een hacker vervolgens mogelijk om een Javascript functie aan te roepen waarmee additionele code aan de Wordpres website toegevoegd kan worden. Zo is gebleken dat getroffen websites zijn voorzien van code waarmee bezoekers worden doorgestuurd naar schadelijke websites met alle gevolgen van dien.

Kies voor professioneel en periodiek onderhoud

Joomla Onderhoud Wordpress Onderhoud

Update beschikbaar voor WP Live Chat Support

Om de kwetsbaarheid in de plugin is inmiddels verholpen in versie 8.0.29 en hoger. Gebruikers wordt geadviseerd om deze update zo snel als mogelijk te installeren. De update is sinds 17 mei 2019 beschikbaar echter hebben nog veel gebruikers niet de moeite genomen de plugin te updaten.

Ook via Twitter roept de ontwikkelaar op de plugin direct te updaten. Diverse gebruikers hebben echter aangegeven de update niet uit te kunnen voeren omdat de update niet beschikbaar is. De ontwikkelaar heeft hier echter beperkt op gereageerd.