Home / Over ons / Nieuws / Nieuws / Kwetsbaarheid gevonden in meerdere WordPress plugins

Kwetsbaarheid gevonden in meerdere WordPress plugins

12 mei 2015 - 00:00u - 3 minuten leestijd

Enige tijd geleden zijn er kwetsbaarheden ontdekt in diverse WordPress plugins. Door verkeerd gebruik van de functies add_query_arg() en remove_query_arg() konden deze plugins misbruikt worden.

Cross-site scripting (XSS) lek

De kwetsbaarheden bevinden zich in een zogeheten XSS lek. Door deze kwetsbaarheden kunnen ongeautoriseerde gebruikers code injecteren waarbij bijvoorbeeld (klant)gegevens kunnen worden ingezien of administrator rechten worden verkregen.

Helaas is gebleken dat veel plugins de functies add_query_arg() en remove_query_arg() verkeerd gebruiken waardoor de plugins misbruikt kunnen worden. Gelukkig hebben veel plugins dit lek inmiddels gedicht en een update beschikbaar gesteld.

Bron: https://blog.sucuri.net/2015/04/security-advisory-xss-vulnerability-affecting-multiple-wordpress-plugins.html

Lijst van geïnfecteerde plugins:

  • Jetpack
  • WordPress SEO
  • Google Analytics by Yoast
  • All In one SEO
  • Gravity Forms
  • Multiple Plugins from Easy Digital Downloads
  • UpdraftPlus
  • WP-E-Commerce
  • WPTouch
  • Download Monitor
  • Related Posts for WordPress
  • My Calendar
  • P3 Profiler
  • Give
  • Multiple iThemes products including Builder and Exchange
  • Broken-Link-Checker
  • Ninja Forms
  • en mogelijk nog meer..

Ook thema’s geïnfecteerd

Helaas is geconstateerd dat er ook thema’s geïnfecteerd zijn, het is dus raadzaam deze ook te updaten of de ontwikkelaar te raadplegen.
De default theme ‘Twenty Fifteen’ is hier een voorbeeld van, deze is geïnfecteerd via de Genericons icon font set. Op de changelog van WordPress 4.2.2 lees je hier meer over.

Hoe controleer ik of ik up to date ben?

De enige manier om problemen met dit lek te ‘voorkomen’ is door er voor te zorgen dat jouw site + plugins altijd up to date zijn.

Update WordPress plugins

Niet goed

WordPress is geupdate

Wel goed

Ook kan je de WordPress website extra beveiligen met bijvoorbeeld plugins. Lees daarom ook ons artikel 8 tips om je WordPress website te beveiligen.

Maak back-ups voordat je update

Zorg er voor dat je voor het updaten back-ups maakt van jouw bestanden en database. Zo voorkom je eventueel verlies bij een mislukte update.

Handige links:
Hoe plaats ik een file back-up terug?
Hoe plaats ik een database back-up terug?
Hoe maak ik zelf back-ups?
Hoe zet ik back-ups terug?

 

 

Dave Marketing manager

Dave is Marketing manager bij RealHosting. Hij verzorgt de (online) marketing en is betrokken bij nieuwe productontwikkelingen.

dave@realhosting.nl - 088-7508918

web-monitoring-ok