Tag: plugin

wordpress gratis open source CMS

Ninja Forms Plugin kwetsbaarheid in 1 miljoen WordPress websites

Het populaire Ninja Forms, een formulieren-plugin voor WordPress en in gebruik op meer dan een miljoen wordpress websites blijkt een ernstige kwetsbaarheid te bevatten, zo meldt het WordFence beveiligingsteam.

Ninja Forms is in gebruik bij ruim 1 miljoen WordPress websites. Deze websites zijn potentieel kwetsbaar hierdoor, wanneer niet zo spoedig mogelijk de Ninja Forms plugin bijgewerkt wordt naar de nieuwste versie. Wij hebben bij de bij ons in beheer zijnde websites direct na bekend worden van de kwetsbaarheid in de Ninja Forms Plugin websites die hier gebruik van maken van een update voorzien.

Doet u zelf het beheer en onderhoud van uw website, voer dan onmiddelijk een update uit. Vergeet niet vooraf een backup te maken!

Thuiswerken, Laptop, Wordpress

Miljoenen WordPress websites kwetsbaar sinds 2021

Rudy Brinkman - Brinkman.IT
Rudy Brinkman – Brinkman.IT

Naar schatting tot wel 45 miljoen WordPress websites zijn potentieel kwetsbaar voor aanvallers doordat plugins niet meer bijgewerkt worden in WordPress. Eigenaren van websites zijn zich hier niet van bewust omdat ze geen melding meer krijgen dat de plugin een update nodig heeft.

Het probleem wordt veroorzaakt doordat het WordPress update mechanisme ‘by design’ zo ontworpen is dat updates niet standaard geport worden naar oudere versies (dat is ondoenlijk) en ontwikkelaars van plugins vaak alleen de nieuwste versie ondersteunen.

In dit artikel de oorzaak en de mogelijk ernstige gevolgen hiervan voor veel websites, wereldwijd, die WordPress en ClassicPress gebruiken. Mogelijk ook úw website!

Wat zijn WordPress plugins?

WordPress is een populair systeem voor het beheren van je website, een “content management” programma. Oorspronkelijk begonnen als “blog software” is WordPress uitgegroeid tot een programma uitermate geschikt als CMS voor websites.

wordpress gratis open source CMSBinnen WordPress bestaat de mogelijkheid functionaliteit aan het programma toe te voegen middels stukjes extra software, “plugins”. Plugins vormen sowieso al een beveiligingsrisico. De afgelopen jaren is dit meerdere malen gebleken. Ze worden bijvoorbeeld niet meer door ontwikkelaars onderhouden (“abandoned” plugins) of ze worden doorverkocht aan kwaadaardige ontwikkelaars die zo de websites waar deze plugins gebruikt worden kunnen infecteren zonder dat de eigenaren het door hebben.

Naar nu gebleken is, is er echter een nieuw en nog véél groter probleem met plugins. Dit wordt veroorzaakt door de overgang van WordPress versie 4.9 naar versie 5. WordPress versie 5 is voorzien van Gutenberg. Gutenberg is niet alleen een wijziging in de ‘editor’ (de tekstverwerker waarmee je berichten maakt voor je website) maar grijpt ook diep in op andere onderdelen van de software. Dit blijkt alleen al uit het feit dat de code van het pakket bijna verdubbeld is door de implementatie van Gutenberg.

Wat is het probleem met WordPress plugins?

Als beta-tester van ClassicPress, gebaseerd op de WordPress 4.9-branch, constateerde ik een “tekortkoming” bij het updaten van plugins. Namelijk: dat plugins niet tonen dat er een update is zodra de plugin is gestopt met ondersteuning voor de WordPress 4.9-branch.

Normaliter wordt er in het WordPress dashboard, waar je de website beheert, namelijk een melding gedaan dat er een update beschikbaar is voor een plugin en bij de plugin zelf zie je dat ook.

wordpress-udpates-plugins

(afb. meldingen update plugins in WordPress)

Veel mensen zijn hier laks in overigens. Maar in elk geval wordt je gewaarschuwd. Zodra echter ontwikkelaars van WordPress plugins overgaan naar het ondersteunen van alleen nog maar WordPress 5+ wordt er dus géén melding meer gedaan van updates. Immers: die zijn er ook niet (meer) voor de 4.9.x en oudere versies? Je hebt daardoor effectief een “abandoned” (een “verstoten” of “weeskind”) plugin in je WordPress website.

Een bekend voorbeeld hiervan is het ontzettend populaire ContactForm7, een plugin waarmee je contactformulieren op je website kunt toevoegen. Deze ondersteund alleen nog WordPress 5.x-versies.

Ik dacht in eerste instantie dat de constatering die ik deed bij het testen het een tekortkoming in ClassicPress was. Dit bleek niet het geval te zijn!

Voor de meeste ClassicPress-gebruikers is het niet zo’n probleem want ze gebruiken veelal alternatieve plugins of plugins speciaal voor ClassicPress. Maar voor gebruikers van verouderde WordPress installaties, en die zijn er heel veel, is het een enorm probleem zonder dat ze het weten en er wordt ook helemaal niets aan gedaan door de ontwikkelaars van de plugins en WordPress zelf.

Niljoenen kwetsbare WordPress websites

Op het forum van ClassicPress deed ik hier daarom een melding over, met als gevolg dat er een interessante discussie ontstond hierover want eerder was het ook gezien als potentieel probleem ‘voor de toekomst’ en nog niets aan gedaan. Eén van de deelnemers heeft het vervolgens ook gemeld op de WordPress Slack. De respons er op was nogal lauw.”I see no reason to backport it” geeft overduidelijk aan dat men het gevaar van dit probleem totaal niet ziet en ernstig onderschat.

wordpress security issue plugins

(afbeelding wp slack)

Binnen de ClassicPress community is het meteen opgepakt en is sinds ClassicPress versie 1.3 een plugin, gemaakt door een ClassicPress gebruiker, opgenomen in de core installatie. Deze plugin waarschuwt wanneer gebruik wordt gemaakt van verouderde, niet meer ondersteunde, plugins.

Oudere versies van WordPress worden nog steeds actief aangeboden (via WordPress) en WordPress wordt gebruikt op meer dan 42% van alle websites wereldwijd. In totaal, volgens Google, 455 miljoen websites gebruiken WordPress. Daarvan is meer dan 10% een versie <5.x (bron).

Dat betekent dat er zo’n 45 miljoen websites op oude, 4.x of nog oudere, versies van WordPress draaien. Deze websites ontvangen géén updates meer van plugins die zijn overgegaan naar WordPress 5.x en dit vormt daarmee een ernstig beveiligingsprobleem. Een probleem dat “by design” voorkomt in WordPress. Zoals één van de mensen op de WordPress slack zegt: “none of the current WordPress versions expect that, they only expect to recieve updates compatible with that particular WP version”.

Een oplossing zou kunnen zijn dat de WordPress ontwikkelaars een notificatie zouden geven als “deze plugin is verouderd en wordt niet meer bijgewerkt”. Maar helaas krijg je de handjes niet op elkaar voor zo’n kleine fix. Die echter wel héél belangrijk zou kunnen zijn.

Het is niet de vraag óf maar wannéér er een kwetsbaarheid wordt ontdekt in een dergelijke verouderde plugin en daar opeens (grootschalig) misbruik van gemaakt wordt. Zoals bijvoorbeeld de bekende kwetsbaarheden in ContactForm 7. De makers van ContactForm7 hebben direct een update gemaakt. Maar,.. níet voor de oudere versies die nog volop in omloop zijn. En dat is precies de kern van het probleem!

Hoe los je het probleem met WordPress op?

Uiteraard is het bekend dat je een website moet onderhouden en regelmatig van updates moet voorzien. En als je zelf geen tijd, kennis of kunde hiervan of -voor hebt dan kun je het uitbesteden natuurlijk. Maar anderzijds is er soms geen andere mogelijkheid dan oudere versies van WordPress te gebruiken wegens bijvoorbeeld maatwerk-oplossingen die nog niet beschikbaar zijn voor een nieuwe WordPress versie.

Daarnaast wordt er voor WordPress 4.8.x en 4.9.x nog steeds onderhoud gedaan door Automattic, de makers van WordPress, en updates en patches voor uitgebracht. Als een software product nog steeds ondersteund wordt is het, mijns inziens, dan ook van het grootste belang dat Automattic er voor zorgt dat de gebruikers geattendeerd worden op potentiële security problemen!

Vooralsnog ligt de bal bij u. Controleer regelmatig of u nog wel de laatste WordPress versie gebruikt, of de plugins up to date zijn (en vertrouw daarbij bij WordPress-versies kleiner dan versie 5 niet op de meldingen in het dashboard) en zorg dat ze bijgewerkt zijn en blijven.

Natuurlijk is de beste oplossing: zorg dat uw WordPress-versie up-to-date is en blijft.

wordpress gratis open source CMS

Cross-Site Scripting kwetsbaarheid All in One SEO Pack

Ruim 2 miljoen websites getroffen: Cross-Site Scripting kwetsbaarheid All in One SEO Pack

De plugin All in One SEO heeft een update beschikbaar gesteld doordat er een kwetsbaarheid in de software ontdekt was waarmee het mogelijk is onder bepaalde omstandigheden kwaadaardige code uit te laten voeren.

“This flaw allowed authenticated users with contributor level access or above the ability to inject malicious scripts that would be executed if a victim accessed the wp-admin panel’s ‘all posts’ page” (Wordfence).

Wij hebben de websites die gebruik maken van ons Managed WordPress pakket direct van een update voorzien. Voor wat betreft Websites die hier niet onder vallen dienen de eigenaren zelf de plugin bij te werken.

Ernstig WordPress beveilingslek contact-form-7-datepicker plugin.

wordpress logoDe plugin “contact-form-7-datepicker”, een toevoeging voor de populaire plugin ContactForm7, bevat een ernstig beveiliginslek. Met contact-form-7-datepicker is het mogelijk een datumveld-kiezer toe te voegen aan ContactForm7 formulieren.

De fout is dusdanig ernstig dat contact-form-7-datepicker inmiddels uit de WordPress bibliotheek is verwijderd.

Het betreft hier een XSS (Cross-site scrpting) probleem.

Het probleem wordt veroorzaakt doordat de invoer die de webapplicatie ontvangt (zoals cookie, url, request parameters) niet juist wordt verwerkt en hierdoor in de uitvoer terechtkomt naar de eindgebruiker. Via deze bug in de website kan er kwaadaardige code (JavaScript, VBScript, ActiveX, HTML, Flash etc.) geïnjecteerd worden. Hiermee kunnen onder meer sessiecookies worden bekeken, sessie van een gebruiker worden overgenomen, functionaliteit van een website worden verrijkt of onbedoelde acties voor een gebruiker worden uitgevoerd. (Wikipedia)

De makers van de plugin zijn niet van zins het probleem op te lossen(!) en dus blijft de kwetsbaarheid bestaan. Op dit moment is de plugin actief op ca. 100.000 websites. Ons zéér dringende advies is om, wanneer u de plugin gebruikt, deze per direct te verwijderen.

Geen zorgen over WordPress onderhoud, software en beveiligingsupdates of geen tijd om uw website up to date te houden? Maak gebruik van onze Managed WordPress oplossing. Kijk hier voor meer informatie.

Meer informatie/bron: Wordfence.

Automatische, gratis, backups maken van WordPress naar Google Drive

Gratis backups maken van je WordPress website naar Google Drive, Dropbox of andere online storage is eenvoudig te realiseren. Met de plugin van UpdraftPlus kun je in een paar minuten je data zonder er verder naar om te kijken dagelijks, wekelijks of maandelijks veiligstellen.

Een backup van je website is een must have. Het is immers niet de vraag óf je die nodig hebt, maar.. wanneer! Het overkomt iedereen namelijk wel een keer: je website functioneert niet meer door een update, een aanpassing in je thema, een corrupte plugin of andere oorzaak (hackers!) waardoor de site niet meer functioneert zoals het zou moeten.

Is er geen (goede) backup dan is het “uithuilen en opnieuw beginnen” en dat is wel het laatste wat je wilt… Met UpdraftPlus kun je binnen korte tijd je website weer herstellen zonder afhankelijk te zijn van anderen!

Met de gratis versie van UpdraftPlus kun je precies dat doen: externe backups maken van je website. De betaalde versie biedt nog veel meer mogelijkheden, zoals bijvoorbeeld migratie van je complete website naar een andere domein of hostingpartner.

BACKUPS MAKEN MET GOOGLE DRIVE

Naast de plugin van UpdraftPlus (klik hier) heb je natuurlijk een gratis account nodig van Google Drive of andere ondersteunde aanbieders zoals Dropbox. Heb je een erg grote website, dan kun je bij Google voor nog geen 2 euro per maand extra ruimte krijgen (100GB) voor opslag. In dit artikel (let op, er zitten betaalde sponsorlinks in het artikel!) op WPLounge wordt precies uitgelegd hoe je het een en ander kunt installeren en configureren.

VOORDELEN UpdraftPlus BACKUP

De backups van UpdraftPlus bevatten alleen de database-inhoud en afbeeldingen en andere content van uw website, niet de WordPress ‘core’ (programma). Wilt u de website terug zetten dan moet u dus eerst een (kale) installatie van WordPress doen en vervolgens kunt u de ‘data’ terug halen. Dat maakt het dus de perfecte oplossing om een website die gehackt is of waarvan de programma-code aangepast is door externe partijen te herstellen. Immers; je begint weer met een ‘frisse’ programma-code.

Een ander belangrijk voordeel is dat u niet hoeft te wachten op ons, of een andere hosting- of webdesign-partij, voor het terugzetten van een backup: u kunt dit gewoon zelf doen. Ook zijn er natuurlijk geen extra kosten aan verbonden als u het zelf kunt doen.

Tot slot is er nog een groot voordeel! Stel, u wilt experimenteren met een nieuw thema, of nieuwe plugins, in uw website.. en, “het valt nogal tegen”? Dan is het een kwestie van een paar keer klikken en de backup van uw website is terug gezet.

MAKEN JULLIE GEEN BACKUPS VOOR MIJ!?

Voor onze clienten maken wij een ‘incrementele backup’ van de website data. Wij maken wekelijks backups van de user accounts. Daarnaast hebben onze servers allemaal RAID1-setups. Dus uw website data is in principe veilig.

Maar…., stel de fout of corruptie in uw website is in die backup keurig meegenomen? Dan hebt U niets aan de backup die wij gemaakt hebben. Daarnaast kan, want techniek is nooit feilloos!, er een reden zijn dat de backup simpelweg anderszins niet goed is of niet werkt. Tot slot: wij maken een backup van uw ‘account’, inclusief email boxen en andere data, dus niet alleen de site. Het terug zetten van deze backup betekent dat u bijvoorbeeld ook email kwijt kunt zijn (ontvangen tussen het moment van de backup en moment van constatering van de problemen).

Wij maken dus wel degelijk backups en doen er dus alles aan dat deze keurig in orde zijn. Echter kunnen wij niet garanderen dat het terugzetten van een dergelijke backup uw probleem oplost. Daarnaast kunt u met UpdraftPlus meerdere backups maken zodat u meerdere dagen terug kunt in de tijd.

Het is dus altijd verstandig ook zelf een eigen, “off-site”, backup te maken. Door deze op te slaan op Google Drive of Dropbox kunt u deze ook altijd benaderen – waar u ook bent!

 

De inhoud van je blog exporteren

Wordpress blog exporteren naar Word of LibreOffice

Wat doe je als je honderden stukjes hebt geschreven op een (online) blog en je wilt dit (gedeeltelijk) samenvoegen tot één document of zelfs boek(je)?

Stukjes schrijven via een blog, bijvoorbeeld met WordPress, is natuurlijk leuk en vaak ook heel nuttig in meerdere opzichten. Sommige mensen gebruiken het om dingen “van zich af te schrijven”, anderen gebruiken het met een meer commercieël doel. Ook voor kennisdeling is een WordPress blog ideaal.

Maar wat als je nu de inhoud van je blog wilt veilig stellen? Of je wilt stoppen met de blog maar vind het doodzonde dat al die uren die je hier aan hebt gespendeerd voor niets zijn geweest?

EXPORTEREN
Stel, je hebt een blog over koken. Tientallen, zo niet honderden, recepten. En op een dag denk je: “Ik zou wel een kookboekje er van willen maken”. Of, je schrijft regelmatig over specifieke onderwerpen waarvan je denkt: “Het zou handig zijn als mensen dat als één e-boek kunnen downloaden”.

Dan zullen de meeste mensen vervolgens Word of LibreOffice opstarten en de artikelen stuk voor stuk kopieëren en plakken in een nieuw document. Dat is niet nodig!

ASPOSE DOC EXPORTER
De plugin Aspose DOC Exporter is een plugin die je die tijdrovende, saaie, klus grotendeels uit handen neemt.  Met de plugin kun je de artikelen die je wilt exporteren, de “berichten”, selecteren en vervolgens met een paar klikken exporteren naar één (of allemaal losse) Word, RTF of zelfs platte tekst-document(en).

Houd er wel rekening mee dat je daarna nog wel het nodige nawerk kan hebben van de opmaak. Afbeeldingen zijn bijvoorbeeld te groot, of te klein. Maar het bespaart je urenlang “kopieëren en plakken” en, bovenal, de plugin is nog gratis ook.

Er is ook een variant die PDF-bestanden aanmaakt. Echter, dan kun je de opmaak daarna nog maar moeizaam aanpassen.

ER IS EEN CATCH: ASPOSE CLOUD
Voor het gebruik dien je wel een (gratis) account aan te maken bij Aspose Cloud. Zie hiervoor https://dashboard.aspose.cloud. Daar ‘haal’ je vervolgens de registratie-sleutels op uit het dashboard.

Er is een ‘catch’. Na een aantal exports moet je credits kopen. Maar wil je deze tool een paar keer gebruiken of één grote export maken, dan is het gewoon gratis.

WAT KUN JE ER MEE? SUGGESTIES!
Stel exports samen op basis van bijvoorbeeld categorieën. Maak op die manier e-books aan die je kunt aanbieden als betaalde download. Of eventueel gratis, in ruil voor inschrijving op je mailinglist bijvoorbeeld. Zo kun je ‘oude’ content nóg een keer ‘vermarkten’!

Een andere, niet onbelangrijke, functie van zo’n export is dat al je werk niet verloren gaat als er iets mis gaat met je website maar mooi gebundeld in één document, of diverse documenten, op je eigen schijf of USB-stick staan. Aspose biedt, tot slot, namelijk ook een optie om te importeren naar een (nieuwe) wordpress blog vanuit deze Word-export.

WordPress Gutenberg? Begin er (nog) niet aan!

Wanneer WordPress een vernieuwing aankondigt dan heb je daarbij, als gebruiker, mogelijk hoge verwachtingen. Zeker als daarbij de makers ook nog eens zeggen dat het schrijven en maken van posts, vooral met ‘rich content’ daardoor een geheel nieuwe ervaring wordt.

Installatie van Gutenberg kan het ontwerp van je webiste vernielen, de plugin bevat nog veel bugs en is duidelijk niet gereed voor productie. Advies: niet installeren!

Een nieuwe ervaring werd het zeker toen we op een testomgeving Gutenburg installeerden. En, zoals al heel veel mensen hebben ervaren, is Gutenberg absoluut niet klaar voor een live omgeving. Het bevat nog veel bugs. Mensen worden geconfronteerd met “witte pagina’s”, teksten verdwijnen, het werken met Gutenberg Editor lijkt in de verste verte niet op de klassieke WordPress Editor.

Daarnaast is Gutenberg een heel andere ‘editor’ dan we gewend zijn binnen WordPress. Het is niet gericht op het publiceren van teksten (blogs, pagina tekst) maar op typografie en design. Het houdt een beetje het midden tussen een “page builder” en de huidige editor. Gericht op het maken van “blokken” van content. Eén paragraaf tekst wordt in die opzet als een “blok” gezien. Met zijn eigen opmaak. Een volgende paragraaf is wederom een “blok”, evenals een afbeelding e.a. stijl-elementen.

Het werken met Gutenberg is daarom voor beginnende, maar vooral ook voor gevorderde, WordPress gebruikers een veelal frustrerende en ontmoedigende ervaring.

SLECHTE RATING

Niet voor niets krijgt de editor, die nu nog optioneel is, daarom een gemiddeld zéér slechte beoordeling (2,5 sterren uit maximaal 5) en regent het negatieve feedback op de pagina van de ontwikkelaars (klik hier). Meer dan 60% van de mensen geeft de plugin op dit moment (18 augustus 2018) een 1-star rating. Veel gebruikers plaatsen furieuze berichten op het supportforum. Vooral omdat aangekondigd wordt dat Gutenburg tot de WordPress Core zou moeten gaan behoren in WordPress versie 5.0.

ADVIES: NIET INSTALLEREN!

Ons advies is om de editor vooralsnog niet te installeren op een live omgeving. Met name omdat posts en pagina’s die met Gutenberg bewerkt worden (en soms verloren gaan of compleet vernield worden daardoor) niet meer te herstellen zijn. Het de-installeren van de plugin verwijdert namelijk niet de code die de editor gemaakt heeft in de betreffende pagina.

Nogmaals: wij raden iedereen nadrukkelijk aan deze editor vooralsnog niet te installeren. Kies, wanneer u hier om gevraagd wordt in WordPress, voor de optie “Classic Editor“.

MEER INFORMATIE

Meer informatie over het project, zelf reviews plaatsen? Kijk op de projectpagina van Gutenberg.