Waarom WordPress Premium-Themes een veiligheidsrisico is

Jan Hornung Laatst bijgewerkt op 23.01.2020
5 Min.
N02 Premium Thema's

De gangbare praktijk om Plugins te integreren in Premium Themes kan uw WordPress site blootstellen aan een groot veiligheidsrisico. Het probleem kan momenteel echter nauwelijks worden vermeden - het is aan de gebruiker.

In 2014 en 2015 werden enorme beveiligingslekken ontdekt in twee van de populairste Plugins ooit: zowel Slider Revolution [1] (bijna 75.000 keer verkocht op Envato ), als de Visual Composer [2] (bijna 100.000 keer verkocht op Envato) werden getroffen. De kwetsbaarheden zelf waren echter niet het grootste probleem. De ontwikkelaars reageerden snel en zorgden voor passende updates. Maar voor sommige klanten van Premium Themes, die de twee Plugins gebruiken als onderdeel van zogenaamde Plugin bundels, d.w.z. plugin-constellaties die standaard in de Themes zijn geïntegreerd, was deze maatregel nutteloos. Ze hebben lange tijd door het net geblunderd met deze veiligheidsgaten. Omdat niet alle Themes een automatische update in alle gevallen toestaan.

Dubbele afhankelijkheid van gebruikers

Gebruikers van Premium Themes zijn afhankelijk van twee partijen voor beveiligings-relevante plugin updates: de Plugin- en de thema fabrikanten. Het kan dus gebeuren dat de fabrikant van de plugin snel reageert en het veiligheidsgat dicht, maar dat de Theme deze wijzigingen niet automatisch doorvoert. Dit komt omdat plugin updates niet altijd gemakkelijk compatibel zijn met de rest van een Themes . De interactie van de premium Themes met de nieuwe plugin versie moet meestal eerst getest worden. De reactiesnelheid van de themafabrikanten is dan ook de kritische component in het updateproces en bepaalt hoe lang gebruikers met veiligheidsleemten moeten leven[3].

Maar: Bundels zijn ook problematisch voor de aanbieders zelf

In de praktijk is deze verantwoordelijkheid ook een last voor de themaproducenten. Enerzijds moeten zij hun klanten informeren over de veiligheidskloof en de betekenis ervan. In het geval van Visual Composer hebben de marktplaatsaanbieder Envato en de fabrikant van de plugin wpbackery op voorbeeldige wijze gereageerd: Alle klanten werden via e-mail benaderd en aangeraden om op eigen risico te updaten[4]. Anderzijds moet de fabrikant spontaan de compatibiliteit van de Premium Themes met de nieuwe plugin-versie testen, deze eventueel eerst vaststellen of zelfs een voorlopige oplossing ontwikkelen en deze ter beschikking van de klanten stellen.

De koppeling van dergelijke plug-in bundels veroorzaakt dus problemen voor aanbieders en klanten. Aangezien het bundelprincipe echter veel voordelen heeft, zoals een snelle integratie van gecompliceerde extra functies en een comfortabele bediening voor de klant, zal het probleem waarschijnlijk nog lang blijven bestaan. Het is daarom belangrijk dat de websitebeheerders zich bewust zijn van dit gevaar en weten hoe ze ermee om moeten gaan.

Ondanks voorbeeldige reactie: reactieve actie van fabrikanten lost het probleem niet op

Hoewel Envato en wpbakery in het geval van de Visual Composer snel hebben gereageerd, toont de case de grenzen van de reactieve strategie en maakt het duidelijk dat de bestaande praktijk actief beveiligingslekken accepteert. Reactief gedrag van themaverkopers en marktplaatsleveranciers - hoe goed gecoördineerd ook - biedt niet noodzakelijkerwijs een hoge standaard van beveiliging en functionaliteit. Dit komt omdat e-mails in spamfilters kunnen terechtkomen, social media berichten over het hoofd kunnen worden gezien en in-app berichten verloren kunnen gaan. Daarom is er een onnodig risico voor de websitebeheerder om een onveilig plugin voor lange tijd in bedrijf te hebben.

De reactieve aanpak van de fabrikanten vormt echter ook een tweede risico. Dit is wanneer de websitebeheerder niet de licentiehouder van de premie Themes is. Dit is een veel voorkomende constellatie, bijvoorbeeld in het geval van werk in opdracht van webdesigners. Als webdesigners en website-eigenaren niet met elkaar in contact komen, kan het zelfs gebeuren dat de betrokkenen niet op de hoogte zijn van het veiligheidsgat. Deze praktijk levert massa's websites op waarvan de eigenaars en beheerders geen toegang hebben tot theme-interne updates. Zelfs professioneel onderhouden sites kunnen dus gebruik maken van verouderde en kwetsbare Plugins sites.

Een reactieve aanpak van themafabrikanten en marktplaatsaanbieders gaat dus voorbij aan een belangrijk deel van de realiteit van webdesign.

Proactieve aanpak is duur

Nu rijst de vraag waarom de Plugin bundel niet gewoon altijd automatisch wordt bijgewerkt. Het antwoord ligt in de complexiteit van de premie Themes. De ontwikkelaars ontwerpen Themes met uitgebreide extra functies, zoals visuele bewerkingsinterfaces, schuifregelaars, formuliervelden enzovoort. Totdat de premie Theme in elkaar is gezet en soepel loopt, moeten tientallen testseries worden afgewerkt. Het is vergelijkbaar met updates van de geïnstalleerde Plugins: Elke nieuwe versie kan de algemene functionaliteit van de Themes in gevaar brengen en in het ergste geval de hele website onbruikbaar maken. Vooral voor aanbieders van e-commerce kan een dergelijke downtime enorme geldverliezen en blijvende imagoschade betekenen.

Compatibiliteitstests kosten dan ook veel tijd en geld, wat thema-ontwikkelaars de prikkel ontneemt om proactief te zijn en hun soms reactieve gedrag verklaart. Zoals de Schotse blogger Kevin Muldoon opmerkt, moedigen de marktplaatsen het regelmatig en willekeurig testen van updates ook niet aan. Leveranciers kunnen bijvoorbeeld werken met trustprogramma's, zegt Muldoon. Uiteindelijk is het aan elke themaverkoper om te beslissen welke update-strategie hij volgt. En natuurlijk mag men niet vergeten dat er premium Themes bestaat waarvan de ondersteuning volledig is stopgezet.

Mogelijke oplossingen: Premium updates ook voor gebruikers en nieuwe kwaliteitsnormen

In zijn blogartikel suggereert Muldoon een optionele update-optie voor theme-internal Plugins in WordPress zelf. De gebruiker zou dan de respectieve Plugin kunnen updaten naar de laatste versie direct nadat de update is vrijgegeven, maar aanvaardt ook aansprakelijkheid voor mogelijke incompatibiliteit met de geselecteerde Theme. Het invoeren van de licentiesleutel zou alleen nodig zijn bij het activeren van Plugins , updates zouden ook zonder licentie kunnen worden uitgevoerd. De gebruiker zou ook rechtstreeks op de hoogte worden gebracht van nieuwe en bijzonder belangrijke updates in WordPress . De tussenstap via themaproducenten of marktplaatsen, die eerst hun klanten moeten informeren, zou zo komen te vervallen.

De door Muldoon genoemde stimuleringsprogramma's zouden ook een oplossing kunnen zijn indien zij het proactieve updatebeleid van de themaproducenten als een prominent, nieuw veiligheidsaspect invoeren. Op die manier zouden regelmatige compatibiliteitstests een volledig nieuw kwaliteitscriterium van de betaalde Themes kunnen worden.

Conclusie: de gebruiker is in trek

In ieder geval is dit probleem een zaak voor de gebruiker: men moet zich ervan bewust zijn dat bundelPlugins een beveiligingsprobleem kan vormen en een mogelijke workaround vinden. De eigenaar van een website kan bijvoorbeeld zelf licenties kopen voor de overeenkomstige Themes of een beroep doen op een hoster die de overeenkomstige updates uitvoert [5].

Zelfs bij de keuze van de premie Themes zelf, kan rekening worden gehouden met enkele belangrijke veiligheidsaspecten. Als u het update beleid van de thema fabrikant en de gebruikte Plugins kent, kunt u meestal al een goede schatting geven van de kwetsbaarheid van het probleem Themes .

Ook hier bestaat er niet zoiets als 100% zekerheid. Het risico kan echter aanzienlijk worden verminderd door bewuste selectie.

Deze situatie toont zeer goed aan hoe de voor- en nadelen van de modulaire structuur van WordPress met elkaar samenhangen. Aangezien dit probleemgebied groot en divers is, zijn we benieuwd naar uw input: Heeft u ooit problemen gehad met Premium Themes, plugin updates of iets dergelijks? Laat het ons weten en help de gemeenschap om beter voorbereid te zijn in geval van nood.

Links

1]: Uitleg over de beveiligingsproblemen van de Plugin Slider Revolution: https://blog.sucuri.net/2014/09/slider-revolution-plugin-critical-vulnerability-being-exploited.html

[2]: Verklaring van de veiligheidslekken op Plugin Visual Composer : https://forums.envato.com/t/visual-composer-security-vulnerability-fix/10494

[3]: Dit wordt ook benadrukt door providers als Envato in hun klantennotities over overeenkomstige beveiligingslekken: https://forums.envato.com/t/visual-composer-security-vulnerability-fix/10494.

[4]: De Schotse blogger Kevin Muldoon heeft een gedetailleerd artikel over dit probleem geschreven en commentaar geleverd op de aanpak van Envato. Hij heeft ook opgeroepen tot een automatische updatefunctie voor bundel-Plugins : http://www.kevinmuldoon.com/packaged-wordpress-plugins-automatic-updates/.

5]: Vooral als webdesigners nauw samenwerken met de respectieve hosters, d.w.z. over de nodige informatie voor plugin-updates beschikken, kan een doeltreffend en snel updateproces tot stand worden gebracht.

RAIDBOXER van het eerste uur en Head of Support. Bij Bar- en WordCamps praat hij het liefst over PageSpeed en website-performance. De beste manier om hem om te kopen is met een espresso - of Beierse Brezel.

Gerelateerde artikelen

Reacties op dit artikel

Laat een opmerking achter

Jouw e-mailadres zal niet worden gepubliceerd. Verplichte velden zijn met een * gemarkeerd.