Twee dagen terug kreeg ik samen met alle andere ondernemers die in het bezit zijn van de vertaal plugin WPML, de verontruste mededeling dat de website van WPML gehackt is. Dit bleek gedaan te zijn door een wraakzuchtige ex-medewerker die een zogenoemde ‘backdoor’ had geplant voordat hij het bedrijf verliet. Lees hier wat er gebeurd is, wat de gevolgen zijn en welke acties WPML vervolgens ondernomen heeft.

First things first, wat is WPML precies?

WPML staat voor WordPress Multilingual Plugin. Met WPML is het eenvoudig om een meertalige website te gebruiken met één WordPress-installatie. De plugin wordt geleverd met meer dan 40 talen en daarnaast kun je ook je eigen taalvarianten toevoegen (zoals Mexicaans Spaans om een voorbeeld te noemen) met de ingebouwde taaleditor.

Hoe gaat het in zijn werk?

Na de installatie en activatie van je plugin kies je de gewenste talen voor je site en kan direct beginnen met vertalen van de inhoud. Het voordeel van deze plugin is dat je heel makkelijk een andere WordPress gebruiker met enkele klikken om kunt zetten in een vertaler (door de juiste rechten toe te wijzen). Deze vertalers hebben alleen toegang tot specifieke vertaalopdrachten die vertaalmanagers (gewoonlijk jij als website eigenaar of ik als websitebouwer) eraan toewijzen. Dat is zeker handig als je voor iedere taal een specifieke vertaler wil toewijzen, en die persoon verder geen toegang mag hebben tot de rest van de website of andere vertalingen.

WPML werkt eenvoudig samen met webshops gebouwd en uitgevoerd met WooCommerce. Deze heeft dus volledige ondersteuning in meerdere talen, waaronder ook variabele producten, gerelateerde producten, verkoop en promoties en al het andere dat WooCommerce biedt. Bezoekers zullen genieten van een volledig gelokaliseerd aankoopproces, te beginnen met de productvermelding, via het winkelwagentje en de kassa en zelfs gelokaliseerde bevestigings-e-mails.

Ideaal! De mogelijkheden zijn eindeloos. (WPML laat zien welke teksten moeten worden vertaald en bouwt de complete vertaalde winkel voor je op.)

Je kan dit vertalen zelf doen, of zoals hierboven genoemd, vertalers toekennen. Maar wat ook een voordeel is, is dat je professionals in kunt huren die je website voor je vertalen met deze plugin. Als je hulp nodig hebt verbindt WPML je met toonaangevende vertaaldiensten.

Wat helemaal fijn is, is dat WPML beschikbaar is in zowel meertalige blog- als meertalige CMS-versies. Je hoeft niets speciaals te doen om meertalige thema’s te maken. Gebruik gewoon de WordPress API-functies en WPML zorgt voor de rest.

Daarnaast kun je ook verschillende taalinhoud rangschikken in hetzelfde domein (in taalmappen), in subdomeinen of in volledig verschillende domeinen.

Klinkt helemaal geweldig. En dan wordt hun website gehackt!

Leuk zo’n ex-werknemer.. NOT.  Wat deed hij precies? Hij heeft:

  • De namen en e-mails van alle WPML klanten gekopieerd
  • Heeft namens WPML een massale e-mail verzonden
  • Wijzigde de aankooppagina en voegde een nep blogpost toe

Amir van WPML bood zijn excuses aan;

We’re very sorry that we allowed this to happen. We’ll take a lot more precaution when others leave the company in the future. Of course, some of our employees have access to sensitive material and we trust them to use it wisely.

Hieronder een aantal vragen die bij je op kunnen komen na al dit gebeuren, met de antwoorden.

Wat is een exploit?

Een exploit is een Engelse term en wordt in de zin van “iets gebruiken voor eigen voordeel” gebruikt. Het is een stukje software of hoeveelheid gegevens die gebruikmaakt van een bug (Een fout in een computerprogramma of een website, waardoor het zijn functie niet (geheel) volgens specificaties vervult), glitch (Een onverwachte output die het gevolg is van een kortdurende elektronische of softwarematige storing) of kwetsbaarheid in de software van een apparaat, om onverwacht en door de eigenaar van het apparaat meestal ongewenst gedrag te veroorzaken op de software of hardware van dat (meestal geautomatiseerde) elektronische apparaat.

Het gaat dan vaak over het verkrijgen van controle over een computersysteem. Kortweg komt het neer op het gebruikmaken van een bug in (de beveiliging van) een besturingssysteem of in specifieke programmatuur van de klant die door hackers kan worden geëxploiteerd.

Is er een exploit in de WPML-plug-in?

De aanvaller heeft de code in WPML-plug-ins niet gewijzigd. Gelukkig! Ze hebben dit dubbel gecontroleerd en ze kunnen gelukkig bevestigen dat er niet is geknoeid met de ZIP-bestanden die de eindgebruikers downloaden. Dat is in ieder geval een geruststelling!

Is de betalingsinformatie aangetast?

Nee. WPML slaat geen betalingsinformatie op hun server op. Ze gebruiken PayPal en Stripe voor betalingsverwerking en zij slaan de betalingsgegevens op. Wanneer iemand de WPML plugin koopt, zien zij nooit het gebruikte creditcardnummer.

Is je WPML-account gecompromitteerd?

Mogelijk. De aanvaller heeft toegang gekregen tot alle klantnamen en e-mails en kan mogelijk inloggen op je account. Hierdoor kan de aanvaller zich voordoen op wpml.org. Het is daarom aangeraden om even in te loggen op je account en je wachtwoord aan te passen!

Wat doet het WPML-team aan deze hack?

Ze bouwen de server helemaal opnieuw op, resetten alle wachtwoorden en vergrendelen alles. Omdat de indringer toegang had tot de server, kunnen ze helaas niet zeggen welke andere gaten er zijn, dus hebben ze besloten de website helemaal opnieuw te bouwen.

En nu?

Dit alles gebeurde afgelopen weekend en het team van WPML heeft mega hard gewerkt. De website van WPML is klaar, online en in werkende staat. Ze hebben de toegang tot de 2-factor authenticatie voor beheerders beveiligd en de toegang die de webserver heeft tot het bestandssysteem geminimaliseerd.

Dit zijn meer voorzorgsmaatregelen dan daadwerkelijke reactie op de hack. Uit de gegevens van WPML blijkt dat de hacker inside-informatie (een oud SSH-wachtwoord) en een gat gebruikte dat hij voor zichzelf had achtergelaten toen hij nog werknemer was. Deze hack is niet uitgevoerd via een exploit in WordPress, WPML of een andere plug-in, maar met behulp van deze voorkennis. Het is in ieder geval wel een feit dat de schade groot is, en dat het niet zomaar terug te draaien is. Vandaar dat ze alles helemaal opnieuw zijn gaan bouwen.

Om duidelijk te zijn

  • WPML plugins die op je site worden uitgevoerd, bevatten deze exploit niet.
  • Je betalingsgegevens zijn niet gehackt (Ze slaan deze niet op).
  • De indringer heeft je naam en e-mailadres en heeft mogelijk toegang tot je account op WPML.org.
  • De indringer heeft inderdaad de sitekeys gestolen, maar ze hebben geen zin. Met de sitekeys kan je site updates ophalen van wpml.org. De indringer kan met deze toetsen geen wijzigingen in je site doorvoeren.
  • WPML raadt al hun klanten aan hun accounts opnieuw in te stellen in wpml.org. Log hiervoor in op je account. Volg geen links in e-mails, omdat de aanvaller mogelijk nog steeds e-mails stuurt om je te misleiden. Om in te loggen, open je een browser, typ je https://wpml.org en logt je daar in.

Er zullen hoogstwaarschijnlijk aanvullende acties na de inbreuk zijn die WPML moeten nemen. Als dat zo is ontvangen alle gebruikers daar een e-mail over.

Natuurlijk verontschuldigen ze zich bij WPML allemaal dat ze verantwoordelijk zijn voor deze puinhoop (hun eigen woorden) Hun team is beschikbaar om te helpen met alles wat je nodig hebt. Je kunt hier rechtstreeks contact met WPML opnemen.

WPML zal juridische stappen ondernemen tegen de hacker.

Wat voor effect heeft dit op (klanten van) Digitaal Design?

Ik ben pas sinds 2018 begonnen met WPML, en vooralsnog alleen voor mijn persoonlijke websites. Geen van mijn klanten heeft deze plugin op hun website geïnstalleerd en behalve mijzelf hebben mijn klanten er dus geen hinder van ondervonden. Verder is WPML een gerespecteerd plugin en deze zal ik dan ook in de toekomst met vertrouwen blijven gebruiken voor mijzelf en mijn klanten.

Bonus: Andere feitjes over WPML

  • De meeste WPML-klanten komen uit Europa, Noord-Amerika, Azië en Zuid-Amerika.
  • De meest populaire talen voor WPML-clients zijn Engels, Spaans, Frans, Duits, Italiaans, Nederlands, Russisch, Japans en Portugees.
  • WPML is een product van OnTheGoSystems. Zij zijn een wereldwijd bedrijf met personeel uit zes continenten.
  • Ze werken allemaal vanuit huis en verbinden zich via internet!

Mocht je naar aanleiding van dit blog verder nog vragen hebben, stel ze dan gerust!


Meer lezen?

Je website: Voelt het als je digitale thuis?
Zes redenen waarom een e-maillijst bouwen zo belangrijk is
Verdiep je in Marketing met: Ik Help Jou Online

 

 

Wat vond je van dit artikel?

Je beoordeling is waardevol

Wil je meer van dit soort artikelen lezen?

Volg Digitaal Design dan op Social Media

Wat jammer dat je dit geen leuk artikel vond!

Ik zal mijn best doen om mijn artikelen te verbeteren.

Pin It on Pinterest