Slechts drie dagen nadat WordPress 4.2 is uitgebracht is een groot beveiligingslek gedicht waar misbruik van gemaakt kan worden in WordPress versie 4.2, 4.1.3, 4.1.2, 4.1.1 en 3.9.3.
Het gaat om een cross-site scripting (XSS) kwetsbaarheid, waarbij een hacker via de reacties JavaScript kan injecteren om je website binnen te dringen.
Dit lek is nu gelukkig gedicht in WordPress versie 4.2.1 en ik kan je alleen maar aanraden om zo snel mogelijk te updaten naar deze nieuwe versie om problemen te voorkomen.
Over dit cross-site scripting (XSS) beveiligingslek
Deze cross-site scripting (XSS) lek is ontdekt door beveiligingsonderzoeker Jouko Pynnönen van Klikki Oy. In onderstaande video kun je een demonstratie bekijken hoe eenvoudig het is dit lek te misbruiken en een backdoor op een WordPress website te plaatsen.
Simpel gezegd hoeft iemand met verkeerde bedoelingen alleen maar een reactie te plaatsen met een stukje code erin. Wanneer de beheerder van de website vervolgens de reactie bekijkt wordt het script uitgevoerd en wordt er een backdoor geplaatst op de website.
Door deze stappen uit te voeren kan iemand met verkeerde bedoelingen dus eigenlijk alles doen met je website. Zo kan er willekeurige code uitgevoerd worden, is het mogelijk om het wachtwoord van de beheerder te wijzigen of er kan een nieuwe gebruiker aangemaakt worden met beheerder als rol.
Maak je website zo snel mogelijk up-to-date
Wanneer je op mijn mailinglijst staat (klik hier en schrijf je in) kreeg je vanochtend al een mail over hoe belangrijk het is om je website up-to-date te houden om de risico’s op een hack zo klein mogelijk te houden.
Met deze beveiligingsupdate zie je wederom waarom het zo belangrijk is, want dit is natuurlijk niet iets waar je mee te maken wilt hebben.
Indien je website gebruikmaakt van WordPress 4.2 is de kans groot dat je website automatisch geüpdatet wordt naar WordPress 4.2.1. Wanneer je WordPress 4.1.3 of lager op je website gebruikt zal je zelf actie moeten ondernemen om je website te updaten.
Je kunt je website eenvoudig updaten door in te loggen op je website en naar “Dashboard -> Updates” te gaan en op “Nu bijwerken” te klikken. Vergeet niet om altijd eerst een back-up van je website te maken voordat je een update uitvoert.
