Home

Wat je moet weten over het Yoast SEO beveiligingslek

Wat je moet weten over het Yoast SEO beveiligingslek

yoast seo securityGisteren werd bekend dat in de populaire WordPress SEO-plugin van Yoast een veiligheidslek was ontdekt. Heb jij (net als ongeveer 3,5 miljoen anderen) die plugin op je site staan, dan moet je even verder lezen.

Ten eerste: geen paniek. Het gaat weliswaar om een vrij ernstig beveiligingslek, maar het uitbuiten ervan is niet heel makkelijk en vereist een hacker die weet wat hij doet en die het bovendien specifiek op jouw site gemunt heeft.

Ten tweede: er is een vrij grote kans dat het probleem al automagisch voor je is opgelost. Yoast heeft er namelijk gisteravond al in samenwerking met WordPress een automatische update uit gestuurd. Dat betekent dat de meeste WordPress-installaties al gerepareerd zijn.

Wat is er gebeurd?

Ergens in de afgelopen dagen hebben de briljante nerds van WPScan, die zich bezighouden met het opsporen van veiligheidslekken in WordPress en aanverwante software, een foutje gevonden in de Yoast SEO plugin waardoor hackers het systeem konden kraken door een ingelogde gebruiker naar een kwaardaardige website te lokken, bijvoorbeeld met een phishing mail. Vervolgens zouden ze de database kunnen (zouden kunnen, want ik heb niets gelezen dat aangeeft dat er daadwerkelijk sites gehackt zijn) aanpassen via een proces dat SQL injection genoemd wordt.

SQL in je wattes?

Vrijwel alle webapplicaties gebruiken een database om gegevens in op te slaan. Bij SQL injection communiceren hackers, buiten de applicatie om, direct met de database en veranderen daar gegevens. Omdat WordPress gebruikersaccounts ook in de database opslaat is het dus mogelijk om een nieuwe gebruiker toe te voegen en zo de site over te nemen. Ik zag de kracht van SQL injection ooit toen een collega, na een ochtendje netwerkverkeer analyseren, inlogde op de database van personeelszaken van het bedrijf waar ik toen zat en de urenstaten van alle 4000 werknemers op zijn monitor toverde.

Is het een lek, is het een bug(je)

Zo ernstig is dit lek gelukkig nooit geweest. Er zijn zelfs ook al weer mensen die de berichtgeving hierover overdreven vinden en het hebben over een minor bug en niet over een beveiligingslek. Hoe dan ook: ik sluit graag zo veel mogelijk risico’s uit en ik adviseer mijn klanten hetzelfde.

Wat moet je doen?

Wil je zeker weten dat je niet geraakt wordt door dit probleem, volg dan dit simpele stappenplan:

  1. Log in op de admin-interface van je WordPress site
  2. Klik in het linkermenu op ‘Plugins’
  3. Vind in de lijst de plugin ‘WordPress SEO by Yoast’
  4. Staat daar versienummer 1.7.4, ga dan door naar stap 6
  5. Heb je een lager versienummer, klik dan op de link ‘update now’ en doorloop het normale updateproces
  6. Ga rustig verder met je dag

Dat was het. Ik zei toch: geen paniek ;-)

Uitstekend afgehandeld

Al met al lijkt het erop dat dit dingetje uitstekend is afgehandeld door alle betrokkenen. De vinder van de bug heeft, zoals dat hoort, eerst de ontwikkelaar de kans gegeven de issue aan te pakken en toen pas gepubliceerd. De mensen van Yoast hebben heel erg snel een gerepareerde versie gelanceerd en het WordPress team heeft ons een kijkje in de toekomst gegeven wat betreft het volautomatische updateproces waar ze al zo lang aan werken. Dit alles is ook een goed voorbeeld van hoe netjes de online community - en de open source community in het bijzonder - zijn eigen problemen oplost.

Heb jij je site al gecheckt?