Let op: onveilige onderwijs plug-ins WordPress

- Jeroen Langendam

Drie in het onderwijs veelgebruikte WordPress plug-ins blijken serieuze beveiligingstekortkomingen te hebben. Dat meldt Check Point.

Volgens cybersecuritybedrijf Check Point Software Technologies zitten er kwetsbaarheden in veelgebruikte plug-ins voor online leren.

Zo ontdekten de cybersecurityspecialisten van het bedrijf serieuze kwetsbaarheden in drie WordPress-plugins die in het onderwijs vaak gebruikt worden. Plug-ins zijn modules waarmee je een WordPress site voorziet van extra mogelijkheden. Af en toe blijken deze echter onveilig, waarna een beveiligingsupdate nodig is.

De melding van Check Point betreft de plug-ins LearnPress, LearnDash en LifterLMS. Door de veiligheidslekken in deze plugins hebben studenten en externe gebruikers daardoor toegang tot persoonlijke informatie. Ook kunnen hackers ongeautoriseerde financiële transacties uitvoeren, of kunnen onbevoegden de toegangsrechten van de leerkracht krijgen.

Met de genoemde plug-ins kun je van een WordPress een LMS te maken. LearnDash wordt gebruikt voor het verkopen van cursussen en is dus vooral interessant voor commerciële cursussen. Met LifterLMS kunnen onderwijsinstellingen van certificaten toekennen, terwijl LearnPress helpt bij het ontwikkelen van online cursussen. Volgens Check Point maken een aantal topuniversiteiten gebruik van deze WordPress plug-ins. Die topuniversiteiten zijn niet uniek, want in totaal gebruiken ongeveer 100.000 onderwijsplatforms één of meerdere van de genoemde plug-ins.

Wat kunnen hackers met deze onveilige apps?

Door de gaten in de beveiliging van de plug-ins kunnen cybercriminelen het platform overnemen. Dat is vervelend, want het biedt hen de mogelijkheid om:

  • Persoonlijke informatie te stelen
  • Cursusgeld door te sluizen naar de eigen bankrekening
  • Cijfers en beoordelingen veranderen
  • Certificaten vervalsen
  • De antwoorden van toetsen downloaden om deze vervolgens door te verkopen
  • Alle rechten van de docent te verkrijgen

Omri Herscovici, van Check Point: “We hebben bewezen dat hackers gemakkelijk de controle over het hele eLearning-platform kunnen overnemen. Onderwijsinstellingen, maar ook online opleidingen, vertrouwen op die systemen om hun volledige cursussen en trainingsprogramma’s online uit te voeren.”

Op basis van (onder meer) de ontdekkingen van Check Point zijn voor de genoemde WordPress plug-ins updates uitgebracht met beveiligingspatches. Beheerders kunnen de beveiligingsupdates nu uitvoeren.