Ernstig beveiligingsprobleem in de WordPress plug-ins InfiniteWP en WP Time Capsule

Een ernstig beveiligingslek is gevonden in de WordPress plug-ins InfiniteWP en WP Time Capsule. Het gaat om een zogenaamde authentication bypass vulnerability. Dankzij dit beveiligingslek kunnen hackers zonder wachtwoord als administrator inloggen. Voor beide plugins is inmiddels een patch beschikbaar. Gebruik je InfiniteWP of WP Time Capsule, update deze plugins dan onmiddellijk Er wordt al flink misbruik gemaakt van het lek.

Gebruikers van WP Time Capsule versies lager dan 1.21.16 moeten direct updaten en gebruikers van InfiniteWP met versies lager dan 1.9.4.5.

Controleer na de update of je site is besmet. Dit kan bijvoorbeeld met de online scan van Sucuri.

Hoe verklein je de kans op een beveiligingsprobleem met je WordPress site?

Gebruik je WordPress, dan is het periodiek updaten van je plugins, het thema en WordPress een serieuze aangelegenheid. Daarnaast moet je ook direct reageren als er
beveiligingsproblemen bekend worden van componenten die je gebruikt. Een goede bron is wpvulndb.com. Hier worden veel bekende problemen gepubliceerd. Er is ook een mailinglijst, zodat je direct een e-mail ontvangt met de laatste informatie. Je kunt (lees: moet) dan direct handelen.

Daarnaast (maar niet in plaats van) is een firewall plugin een handig middel om het risico op een hack te verkleinen. Installeer bijvoorbeeld WordFence, Sucuri, of iThemes Security.