Enige tijd geleden zijn er kwetsbaarheden ontdekt in diverse WordPress plugins. Door verkeerd gebruik van de functies add_query_arg() en remove_query_arg() konden deze plugins misbruikt worden.
Cross-site scripting (XSS) lek
De kwetsbaarheden bevinden zich in een zogeheten XSS lek. Door deze kwetsbaarheden kunnen ongeautoriseerde gebruikers code injecteren waarbij bijvoorbeeld (klant)gegevens kunnen worden ingezien of administrator rechten worden verkregen.
Helaas is gebleken dat veel plugins de functies add_query_arg() en remove_query_arg() verkeerd gebruiken waardoor de plugins misbruikt kunnen worden. Gelukkig hebben veel plugins dit lek inmiddels gedicht en een update beschikbaar gesteld.
Lijst van geïnfecteerde plugins:
- Jetpack
- WordPress SEO
- Google Analytics by Yoast
- All In one SEO
- Gravity Forms
- Multiple Plugins from Easy Digital Downloads
- UpdraftPlus
- WP-E-Commerce
- WPTouch
- Download Monitor
- Related Posts for WordPress
- My Calendar
- P3 Profiler
- Give
- Multiple iThemes products including Builder and Exchange
- Broken-Link-Checker
- Ninja Forms
- en mogelijk nog meer..
Ook thema’s geïnfecteerd
Helaas is geconstateerd dat er ook thema’s geïnfecteerd zijn, het is dus raadzaam deze ook te updaten of de ontwikkelaar te raadplegen.
De default theme ‘Twenty Fifteen’ is hier een voorbeeld van, deze is geïnfecteerd via de Genericons icon font set. Op de changelog van WordPress 4.2.2 lees je hier meer over.
Hoe controleer ik of ik up to date ben?
De enige manier om problemen met dit lek te ‘voorkomen’ is door er voor te zorgen dat jouw site + plugins altijd up to date zijn.
Niet goed | Wel goed |
Ook kan je de WordPress website extra beveiligen met bijvoorbeeld plugins. Lees daarom ook ons artikel 8 tips om je WordPress website te beveiligen.
Maak back-ups voordat je update
Zorg er voor dat je voor het updaten back-ups maakt van jouw bestanden en database. Zo voorkom je eventueel verlies bij een mislukte update.
Handige links:
Hoe plaats ik een file back-up terug?
Hoe plaats ik een database back-up terug?
Hoe maak ik zelf back-ups?
Hoe zet ik back-ups terug?