Kritisch beveiligingsgat in WordPress

Ja u leest het goed, er is een kritisch beveiligingsgat gevonden in WordPress, alle versies waaronder de laatste juist uitgekomen versie 4.2, maar ook 4.1.3 4.1.2, 4.1.1, en 3.9.3. Dit veiligheidsprobleem is nog niet gepatched door WordPress op dit moment.

Wat is er aan de hand?

Als je WordPress site gebruikers toelaat te reageren via het WP commentaar systeem, dan ben je in gevaar. Een aanvaller kan gebruik maken van een bug in de manier waarop het commentaar systeem werkt. Daardoor is het mogelijk om gevaarlijk code in de MySQL database op te slaan. Wanneer dan een niets vermoedende bezoeker de post bezoekt met het kwaadaardige commentaar  dan kan deze besmet worden met Malware, SEO spam of zelfs een backdoor.

Wat kan ik er nu al aan doen!

Momenteel is het WordPress security team op de hoogte en en wordt er gewerkt aan een patch. In de tussentijd is het aan te raden om het commentaar systeem van WordPress uit te schakelen. Dit kan door te surfen naar de instellingen, dan reacties te kiezen. Een andere mogelijkheid is om enkel reacties na goedkeuring toe te laten. Het gebruik van reactie systemen als Disqus is geen probleem.

Een andere mogelijkheid is het inzetten van een website firewal, zoals we deze morgen in een artikel over besproken hebben. En ook het inschakelen van akismet zal u helpen de posts als spam te klasseren. Het is ongevaarlijk om de post te verwijderen via het reactie systeem, daarmee loop jij of je website  geen gevaar.

Dit beveiligingsgat is opgemerkt door Klikki OY op sucuri is een uitgebreid artikel te lezen over het risico.

UPDATE:

Inmiddels is de update voor WordPress gereleased, het is dus meer dan aan te raden zo snel mogelijk te updaten !

Comments

Add a comment

mood_bad
  • No comments yet.
  • chat
    Add a comment
    keyboard_arrow_up