Door gevonden zwakheden in WordPress code alsook in PHP zijn vele websites momenteel inbraak gevoelig.
LETOP: CAP5 klanten zijn reeds voorzien van de benodigde updates!
WordPress XSS zwakheden
Een tweetal functies in de (development) documentatie van WordPress waren onduidelijk in hun uitleg. Hierdoor zijn deze functies door velen plugin ontwikkelaars verkeerd gebruikt. Dit resulteerde in het onvoldoende filteren van gegevens en daarmee komt de WordPress beveiliging onder druk te staan.
Dit heeft er toe geleid dat onderstaande plugins allen beveiligings lekken bevatten:
- Jetpack
- WordPress SEO
- Google Analytics by Yoast
- All In one SEO
- Gravity Forms
- Meerdere Plugins van Easy Digital Downloads
- UpdraftPlus
- WP-E-Commerce
- WPTouch
- Download Monitor
- Related Posts for WordPress
- My Calendar
- P3 Profiler
- Give
- Meerdere iThemes producten
- Broken-Link-Checker
- Ninja Forms
Voor de meeste plugins zijn reeds updates uitgebracht die het probleem oplossen. Kortom, voer uit die updates!
PHP zwakheden
Daarnaast zijn er een aantal zwakheden gevonden in PHP (dit is waar WordPress in gemaakt is) wat kan leiden tot ongewenst uitvoeren van kwaadaardige code op je website/webserver. Deze updates zijn van belang als je zelf servers beheerd. Doet iemand dit voor je vraag dan gerust of zie hiervan op de hoogte zijn.
ref: Ubuntu Advisory report (EN)
Nogmaals, voor webservers en plugins, voer uit die updates!
Safe surfing!