Kwetsbaarheid in Elementor plugin zorgt voor miljoenen hacks wereldwijd

Onlangs werd er een kritische kwetsbaarheid vastgesteld in één van de meest gebruikte pagebuilders ter wereld, Elementor. Elementor is een enorm uitgebreide page builder die het bouwen van een website vergemakkelijkt. Een handige tool voor mensen die geen achtergrond hebben in development, maar in de eerste plaats is Elementor gemaakt voor Agencies, zoals Purple Panda, als startpunt om dan met de correcte technische skills en toepassingen hierop verder te bouwen.

In dit artikel:

• Hoe is het misgegaan bij een grote organisatie als Elementor?
• Wat zijn de volgende stappen? Hoe los je dit nu op?
• Wat deden wij bij Purple Panda voor onze klanten?
• Hoe kan je dit in de toekomst voorkomen?

Ook bij de grote bedrijven gaat het al eens mis.

Elementor is geen kleine vis. Het is één van de meest gebruikte toepassingen wereldwijd met een enorme support community. Maar ook bij de grote jongens gaat het wel eens mis. Op 22 maart 2022 pakt Elementor uit met versie 3.6.0 van zijn WordPress plugin. Hierin zat een kwetsbaarheid die externe hackers – die goed wisten wat ze deden uiteraard – toeliet om de sites binnen te dringen en in sommige gevallen zelfs over te nemen. In het digitale universum liggen dit soort hackers natuurlijk voortdurend op de loer en hier duurde niet lang voor wereldwijd een enorm aantal websites werden binnen gedrongen. Zoals eerder aangehaald is Elementer een gigantische organisatie. Het duurde dus niet lang voor er een oplossing kwam in de vorm van een nieuwe update. Helaas is op dat moment het kwaad al geschied, ook bij enkele klanten van ons.

Wat zijn de volgende stappen?

De oplossing is op zichzelf enorm eenvoudig: Elementor updaten naar de laatste versie. Toch wordt hier meteen ook de grootse zwakte van het de hele WordPress CMS blootgelegd. Voortduren up-to-date zijn is cruciaal voor de veiligheid van de website. Uit statistieken zelf blijkt dat maar 22% van alle WordPress sites op de laatste versie zitten. Vaak wordt een website opgeleverd en dan enkel nog maar geüpdatet als het nodig is voor de werking van de site. Daarom raden wij onze klanten steeds aan om maandelijks alle updates uit te voeren en een malware scan te laten lopen. Dit doet de eigenaar dan zelf of wij doen dit als agency in de vorm van een onderhoudscontract.

Wat deden wij bij Purple Panda voor onze klanten?

Voor ons was dit natuurlijk kritiek nieuws. Enkele sites waar Elementor werd gebruikt vertoonde al malware. Die hebben we natuurlijk zo snel mogelijk weer helemaal vrij gemaakt, geüpdatet en voorzien van een extra malware scanner.

Ook de sites die nog geen malware vertoonden waren, zoals hierboven als duidelijk werd, vaak niet up to date. Ook al zaten veel klanten nog op versies ouder dan de aangetaste versie 3.6.0, we namen toch liever het zekere voor het onzekere. Een volledige update van de hele CMS konden we enkel doen bij die klanten met een onderhoudscontract, maar we wilde de klanten zonder onderhoudscontract ook niet aan hun lot overlaten. Voor die websites hebben we dan toch even de tijd genomen om de Elementor plugin te updaten, alsook alle plugins die hier nauw mee samen werken. Verder voerde we dan voor de zekerheid nog malware scans uit op zowel hosting niveau als op website niveau.

Tenslotte, hoe kan je dit in de toekomst voorkomen?

Er liggen steeds hackers op de loer, dus denk nooit ‘dit kan bij mij niet gebeuren’. De lijst hieronder helpt je bij het voorkomen van dit soort problemen:

• Doe minimaal maandelijks een check voor volgende zaken:
  • Zorg dat WordPress op de laatste versie is.
  • Zorg dat alle plugins op de laatste versie zijn, ook inactieve plugins.
  • Doe een malware scan, dit kan met een gratis plugin zoals Wordfence.
  • Zorg dat alle Thema’s up to date zijn, ook inactieve themas.
• Wil je echt zeker zijn? Verander dan af en toe alle wachtwoorden van gebruikers.
• Zorg dat je enkel noodzakelijke plugins gebruikt. Hoe meer plugins hoe meer risico.
• Zorg dat de website gebouwd is door een partij met kennis van zaken, zodat er minder infiltratiemogelijkheden zijn of deze ook snel opgelost kunnen worden.
• Schrikt deze lijst je af? Overweeg dan om je WordPress site te laten onderhouden door een externe partij, bijvoorbeeld Purple Panda 😉.