WordPress Revolution Slider verdient aandacht

logo
door: Kees 20-08-2015| Leestijd: 5 minuten| Categorie: Wordpress

De Revolution Slider voorziet veel WordPress-sites van een gelikte fotoslider. Deze plug-in verdient de nodige aandacht vanwege de vele mooie functies die het heeft, maar ook om de kwetsbaarheid.

Wanneer je de plug-in niet regelmatig update, wordt de website gevoelig voor hacks. Om vervelende situaties te voorkomen geven we je inzicht in het probleem van de plug-in, de oorzaak en de oplossingen.

Overigens kan het best zijn dat je de Revslider plug-in in het WordPress-thema gebruikt, zonder dat je het weet.

Revolution Slider instellingen pagina

Websites raken besmet

Eind 2014 zet Google 39.000 WordPress-websites op een blacklist. Ze zijn met malware besmet geraakt door hackers, die een lek in de WordPress Revolution Slider gebruikten.

Ze wisten toegang te krijgen tot de sites en infecteerden die met kwaadaardige codes.

Op dat moment zijn er volgens schatting ruim 100.000 geïnfecteerde websites. Het probleem was destijds wel al bekend, maar veel website-eigenaren installeerden de beschikbare patch niet. Dat is nu nog steeds het geval.

Check in het beheergedeelte van jouw WordPress-website altijd of er nog updates klaarstaan en voer deze zo snel mogelijk uit om hacks te minimaliseren. Plug-ins die je niet gebruikt kun je het beste helemaal verwijderen.

Revslider populair om een reden

De WordPress Revolution Slider is een zeer populaire plug-in en volgens Envato Market ‘The #1 selling slider plug-in’.

Er zijn heel veel WordPress-thema’s die de Revslider standaard in het pakket hebben opgenomen, zoals het meest verkochte thema Avada en X Thema.

Het kan dus goed zijn dat ook jij deze fotoslider in jouw website hebt zitten, wellicht zonder dat je het weet.

De slider is in trek bij websitebeheerders, omdat hij zeer makkelijk in gebruik is, responsive reageert op ieder apparaat, verschillende social media ondersteunt en supersnel laadt.

Waar zit het probleem van de Revslider?

In de WordPress Revolution Slider tot versie 4.2 kunnen bestanden worden gedownload en geüpload zonder authenticatie. De plug-in controleert het type bestand niet, waardoor het mogelijk is onveilige bestanden te uploaden.

Zo kunnen er bestanden worden geüpload via een lek in de updatefunctie van Revslider. Ook kan het ‘wp-config.php’ bestand bekeken worden via de weergave-optie in Revslider.

De plug-in ziet niet dat het een systeembestand is en laat het openen ervan toe.

In het ‘wp-config.php’ bestand staat informatie over jouw website, zoals databasegegevens en instellingen.

Makkelijk voor wie kwaad wil

Wie het ‘wp-config.php’ bestand kan inzien leest daar de inloggegevens van de database. Zo kan de hacker inloggen in de website en een extra gebruiker aanmaken, wachtwoorden wijzigen of direct data op de site aanpassen en toevoegen.

In sommige gevallen staan ook FTP-gegevens in het ‘wp-config.php’ bestand, waarmee de hacker toegang heeft tot alle bestanden op het hostingpakket.

Hoe kan je zien of je site misbruikt is?

Als je site misbruikt is dan kunt je dat in het toegangslogbestand van je site zien. Het volgende patroon zien wij vaak terug bij misbruikte sites:

1. Er wordt gecontroleerd of de plug-in aanwezig is:

De hacker controleert of de plug-in aanwezig is door het volgende adres op te vragen:


voorbeeld.nl/wp-content/plugins/revslider/rs-plugin/font/revicons.eot

In het logbestand ziet dit er als volgt uit:


GET /wp-content/plugins/revslider/rs-plugin/font/revicons.eot HTTP/1.1″ 200

2. Plug-in wordt misbruikt door het bestand wp-config op te vragen:

De hacker vraagt onderstaande link op om te controleren of de plug-in misbruikt kan worden. Wanneer dat het geval is wordt het ‘wp-config.php’ bestand gedownload.


voorbeeld.nl/wp-admin/admin-ajax.php?action=revslider_show_image&img=../wp-config.php

In het logbestand ziet dit er als volgt uit:

GET /wp-admin/admin-ajax.php?action=revslider_show_image&img=../wp-config.php HTTP/1.0″ 202

3. Uploaden bestand:

De hacker zendt een bestand via een HTTP post-opdracht naar de site en misbruikt hiervoor de updatefunctie van de plug-in Revslider. Dat doet hij via:


voorbeeld.nl/wp-admin/admin-ajax.php

In het log bestand ziet dit er als volgt uit:


POST /wp-admin/admin-ajax.php HTTP/1.1″ 200 4183 “-”
Content-Disposition: form-data; revslider_ajax_action
update_plugin; name=”update_file”;…

4. Aanroepen geplaatst bestand:

De hacker roept het geplaatste bestand aan via de updatefunctie van de Revslider op via:


voorbeeld.nl/wp-content/plugins/revslider/temp/update_extract/revslider/update.php

In het log bestand ziet dit er als volgt uit:


GET /wp-content/plugins/revslider/temp/update_extract/revslider/update.php HTTP/1.1″ 200 5287
“-” “Mozilla/5.0 (Windows NT 5.1; rv:33.0) Gecko/20100101 Firefox/33.0″


Let op dat deze acties enkel succesvol zijn als er ook de 200-code terug komt, zoals in de voorbeelden. Is dit niet het geval dan is de hack mislukt.

Revolution Slider gevoelig voor hackers

Is jouw website gevoelig voor misbruik?

Sinds de kwetsbaarheid van de WordPress Revolution Slider bekend is vinden er vele updates plaats. Voornamelijk alle versies tot 4.2 zijn zeer gevoelig voor hackers.

Inmiddels is de plug-in aanbeland bij de 5.0.4-editie. Dan moet je de slider dus wel updaten.

Controleer zelf of jouw website gehackt kan worden.

Ga naar:


voorbeeld.nl/wp-admin/admin-ajax.php?action=revslider_show_image&img=../wp-config.php

Ontvang je een pop-up waarmee je het ‘wp-config.php’ bestand kunt downloaden dan is het foute boel.

Jouw versie achterhalen en updaten

Ontdek jouw versie van de slider via het bestand:


/wp-content/plugins/revslider/revslider.php

Je kan ook inloggen op het beheergedeelte van jouw website. Ga daar naar het tabblad plug-ins en bekijk de informatie die bij de Revslider wordt weergegeven.

Is de plug-in aan een update toe, bekijk dan hier hoe je de Revolution Slider update.

Is de Revolution Slider een onderdeel van jouw thema, vraag dan de themaleverancier om jou een nieuwe versie te sturen. Deze wordt aangeleverd in ZIP-bestand en verwerk je door FTP-software te gebruiken.

910

Themeforest biedt op moment van schrijven 910 WordPress-thema’s aan die de Revolution Slider bevatten.

Zit jouw thema hiertussen, controleer dan of een update nodig is.

logo
Over: Kees

Kees ademt technologie, gadgets en automatisering en is altijd bij de tijd wat betreft de laatste ontwikkelingen op deze gebieden. Als technisch medewerker staat hij jou in de helpdesk te woord en voorkomt hij storingen.