Slechts drie dagen nadat WordPress 4.2 is uitgebracht is een groot beveiligingslek gedicht waar misbruik van gemaakt kan worden in WordPress versie 4.2, 4.1.3, 4.1.2, 4.1.1 en 3.9.3.
Het gaat om een cross-site scripting (XSS) kwetsbaarheid, waarbij een hacker via de reacties JavaScript kan injecteren om je website binnen te dringen.
Dit lek is nu gelukkig gedicht in WordPress versie 4.2.1 en ik kan je alleen maar aanraden om zo snel mogelijk te updaten naar deze nieuwe versie om problemen te voorkomen.
Over dit cross-site scripting (XSS) beveiligingslek
Deze cross-site scripting (XSS) lek is ontdekt door beveiligingsonderzoeker Jouko Pynnönen van Klikki Oy. In onderstaande video kun je een demonstratie bekijken hoe eenvoudig het is dit lek te misbruiken en een backdoor op een WordPress website te plaatsen.
Simpel gezegd hoeft iemand met verkeerde bedoelingen alleen maar een reactie te plaatsen met een stukje code erin. Wanneer de beheerder van de website vervolgens de reactie bekijkt wordt het script uitgevoerd en wordt er een backdoor geplaatst op de website.
Door deze stappen uit te voeren kan iemand met verkeerde bedoelingen dus eigenlijk alles doen met je website. Zo kan er willekeurige code uitgevoerd worden, is het mogelijk om het wachtwoord van de beheerder te wijzigen of er kan een nieuwe gebruiker aangemaakt worden met beheerder als rol.
Maak je website zo snel mogelijk up-to-date
Wanneer je op mijn mailinglijst staat (klik hier en schrijf je in) kreeg je vanochtend al een mail over hoe belangrijk het is om je website up-to-date te houden om de risico’s op een hack zo klein mogelijk te houden.
Met deze beveiligingsupdate zie je wederom waarom het zo belangrijk is, want dit is natuurlijk niet iets waar je mee te maken wilt hebben.
Indien je website gebruikmaakt van WordPress 4.2 is de kans groot dat je website automatisch geüpdatet wordt naar WordPress 4.2.1. Wanneer je WordPress 4.1.3 of lager op je website gebruikt zal je zelf actie moeten ondernemen om je website te updaten.
Je kunt je website eenvoudig updaten door in te loggen op je website en naar “Dashboard -> Updates” te gaan en op “Nu bijwerken” te klikken. Vergeet niet om altijd eerst een back-up van je website te maken voordat je een update uitvoert.
5 reacties
Beste Maikel,
Bedankt voor alle informatie op je site, heel fijn!
Ik wilde de update uitvoeren maar kreeg een foutmelding.
Toen heeft iemand anders de update voor mij gedaan (vanaf zijn computer), en dat ging goed.
Alleen sindsdien kan ik niet meer bij mijn teksten op de website en loopt hij steeds vast.
In chroome: als ik een tekst wil aanpassen komt er geen tekst tevoorschijn.
In firefox: krijg ik wel de tekst te zien, en kan ik deze aanpassen. Maar als ik een nieuw tekstblok wil schrijven kom ik er niet meer in….en loopt hij vast
Heb jij enig idee hoe dit op te lossen.
Ik denk er zelf aan om mijn backup terug te zetten en dan opnieuw een update uit te voeren….
Alvast bedankt voor je antwoord.
Het kan komen door een conflict met de nieuwste versie van WordPress en een plugin. Om dit te achterhalen moet je alle plugins uitzetten en controleren of het dan wel goed werkt. Indien dit het geval is kun je alle plugins 1 voor 1 weer aanzetten en kun je controleren bij welke plugin het mis gaat. Je kunt vervolgens een alternatieve plugin zoeken.
Een andere optie is inderdaad om gewoon een backup terug te zetten en de update opnieuw doen. Wellicht is er wel iets mis gegaan tijdens het updaten waardoor dit probleem is ontstaan.
Succes
Hoe kun je controleren of je site niet met een XSS aanval te maken heeft gehad? Ik kreeg zaterdag wel twee Engelse fake reacties binnen.
De kans is groot dat dit gewoon ‘normale’ spamreacties waren. Je kunt controleren of je bent aangevallen door naar de reacties zelf te kijken en of er code in verwerkt is waarbij een .js bestand wordt aangeroepen. (zoek naar .js in de reactie)
Wanneer je de reactie al hebt weggehaald zou je moeten onderzoeken op je website of er niet ergens een backdoor is geplaatst. Dit is meestal makkelijker gezegd dan gedaan.
Op https://sitecheck.sucuri.net/ kun je een gratis scan laten doen die je verteld of er momenteel gehackte bestanden of malware in je site actief zijn.
Aan de hand van die informatie weet je een stuk meer, maar alsnog kan het als backdoor op non-actief in je website staan.
Het nakijken van bestanden op wijzigingsdatum met een FTP programma is ook een optie als je wilt weten hoe de website er op de achtergrond bij staat op bestandsniveau.