Eerder deze week sprak ik nog met een klant over het gevaar van een Theme te kopen op Themeforest waarin WPbakery gebruikt wordt en dat de koper er geen licentie bij kocht van WPbakery. Vandaag lees ik in Mijn RSS feeds dat er een beveiligingsissue is in WPbakery. Een issue dat al bestaat sinds 27 Juli j.l maar waar Wordfence nu mee uitpakt op hun blog.
Alle oude versie van WPbakery hebben een beveiliginsprobleem die het bnoodzakelijk maakt om te updaten naar de laatste versie (6.4.1); Door het beveiligings probleem zijn momenteel 4 miljoen website potentieel kandidaat dat ze gehacked kunnen worden.
Wat is er aan de hand
Helaas is de plug-in ontworpen met een fout die gebruikers met rollen op bijdragers- en auteursniveau de mogelijkheid zou kunnen geven om kwaadaardig JavaScript in pagina’s en berichten te injecteren. Deze fout gaf deze gebruikers ook de mogelijkheid om de posts van andere gebruikers te bewerken. De plug-in heeft expliciet alle standaard HTML-filtercontroles uitgeschakeld in de saveAjaxFe-functie met behulp van kses_remove_filters () ;. Dit betekende dat elke gebruiker met toegang tot de WPBakery-builder HTML en JavaScript overal in een bericht kon injecteren met behulp van de paginabuilder.
Schrijf je in en mis niets meer.
Krijg wekelijks op donderdagmorgen een overzicht van de laatste posts op WPMagazine.be, een nieuwsbrief boordevol tips tricks, en onze laatste artiekelen. Zo ben je altijd op de hoogte.
Conclusie:
In de post van vandaag hebben we een fout in de WPBakery-plug-in beschreven die geauthenticeerde gebruikers de mogelijkheid bood om kwaadaardig JavaScript in berichten te injecteren met behulp van de WPBakery-paginabuilder. Daarnaast hebben we enig inzicht gegeven over hoe u uzelf kunt beschermen tegen kwetsbaarheden op het niveau van bijdragers en auteurs. Deze fout is volledig hersteld in versie 6.4.1. We raden gebruikers aan om onmiddellijk bij te werken naar de nieuwste beschikbare versie, namelijk versie 6.4.1 op het moment van deze publicatie.
WPbakery wordt in heel wat templates van themeforest als standaard mee gebruikt maar je krijgt er niet standaard de updates voor die zouden moeten je moet dan een extra licentie kopen. Doe je dat niet dan ben je overgeleverd aan de maker van je Thema en het kan dan dus gebeuren dat deze het gekochte thema niet meer update. Om dat te omzeilen koop je dus best zelf een licentie van WPbakery
