Kritiek veiligheidslek in WordPress plugin Ninja Forms

Sucuri blogde gisteren over een lek in de WordPress plugin Ninja Forms. Via dit lek is  het voor kwaadwillenden mogelijk om informatie te halen uit je database via een SQL injection.

In deze blogpost leggen we je uit wat het lek inhoud en wat je er tegen kunt doen.

Ninja Forms – een veelgebruikte plugin

Ninja Forms is een plugin die je helpt bij het maken van formulieren voor op je WordPress site. Deze plugin moet je zelf installeren, hij wordt niet standaard geïnstalleerd wanneer je WordPress installeert. Je kunt in de backend (menu: plugins/ geïnstalleerde plugins) zien of je Ninja Forms geïnstalleerd hebt.  

Wat is precies het probleem?

In de Ninja Forms versies 2.9.55.1. en lager zit een kwetsbaarheid die ervoor zorgt dat het mogelijk is om informatie uit je database te halen door middel van een SQL injection. Kwaadwillenden kunnen zo onder andere de gebruikersnamen van de site en de bijbehorende wachtwoorden achterhalen. Zodra ze deze achterhaald hebben kunnen kwaadwillenden zichzelf toegang geven tot de backend van je site en zo je site overnemen. 

Een technischere omschrijving van het lek vind je op het blog van Sucuri.

Hoe bescherm ik mijzelf hier tegen?

Het is gelukkig relatief makkelijk om te voorkomen dat je site misbruikt wordt middels dit lek. NinjaForms heeft een update van deze versie gemaakt waarin dit lek is gedicht. Zorg dat je gebruik maakt van versie 2.9.55.2 of hoger. Je hoeft dus alleen maar je versie van Ninja Forms te updaten. Dit doe je in de backend van WordPress, onder Plugins. Je vind hier een overzicht van alle plugins en kan deze hier met een klik op de knop bijwerken naar de nieuwste versie.

Hulp nodig?

Wil je hier graag hulp bij, of geef je het liever uit handen? Op onze site vind je veel partnerbedrijven die je kunnen helpen: byte.nl/partners.

 op

Merel is contentmarketeer en communicatiespecialist. In haar dagelijkse werkzaamheden stort ze zich vol enthousiasme op het schrijven van interessante content, het organiseren van evenementen en de communicatie van Byte. Buiten het werk staat Merel het liefst in de kroeg, op het voetbalveld of hangend op de bank voor een goede film of serie.