Enige tijd geleden zijn er kwetsbaarheden ontdekt in diverse WordPress plugins. Door verkeerd gebruik van de functies add_query_arg() en remove_query_arg() konden deze plugins misbruikt worden.
De kwetsbaarheden bevinden zich in een zogeheten XSS lek. Door deze kwetsbaarheden kunnen ongeautoriseerde gebruikers code injecteren waarbij bijvoorbeeld (klant)gegevens kunnen worden ingezien of administrator rechten worden verkregen.
Helaas is gebleken dat veel plugins de functies add_query_arg() en remove_query_arg() verkeerd gebruiken waardoor de plugins misbruikt kunnen worden. Gelukkig hebben veel plugins dit lek inmiddels gedicht en een update beschikbaar gesteld.
Helaas is geconstateerd dat er ook thema’s geïnfecteerd zijn, het is dus raadzaam deze ook te updaten of de ontwikkelaar te raadplegen.
De default theme ‘Twenty Fifteen’ is hier een voorbeeld van, deze is geïnfecteerd via de Genericons icon font set. Op de changelog van WordPress 4.2.2 lees je hier meer over.
De enige manier om problemen met dit lek te ‘voorkomen’ is door er voor te zorgen dat jouw site + plugins altijd up to date zijn.
Niet goed |
Wel goed |
Ook kan je de WordPress website extra beveiligen met bijvoorbeeld plugins. Lees daarom ook ons artikel 8 tips om je WordPress website te beveiligen.
Zorg er voor dat je voor het updaten back-ups maakt van jouw bestanden en database. Zo voorkom je eventueel verlies bij een mislukte update.
Handige links:
Hoe plaats ik een file back-up terug?
Hoe plaats ik een database back-up terug?
Hoe maak ik zelf back-ups?
Hoe zet ik back-ups terug?