2016, een bewogen jaar met WordPress!

wordpress 2016 2017

We hebben veel meegemaakt in 2016! WordPress heeft diverse veiligheidsupdates gekregen en diverse verbeteringen.

6 Januari begon direct met een beveiligingsrelease om een mogelijk XSS lek te verhelpen. Het lek werd gemeld door crtc4l.

2 Februari kreeg ook een onderhoud en beveiligingsupdate om ongewenste aanvragen op de server te dichten & een fix om te voorkomen dat er url’s aangemaakt konden worden waarmee de gebruiker na inloggen doorgestuurd werd naar een bepaald adres.

6 Mei kwam een beveiligingsrelease uit omdat Plupload gevoelig was voor een XSS, Plupload is een script dat gebruikt wordt om bestanden te uploaden. Het is een script dat ontwikkeld is door “een derde partij”. We zien vaker dat krachtige scripts die wereldwijd gebruikt worden gehackt worden. WordPress wacht bij het fixen niet op een oplossing van derden maar gaat er zelf mee aan de slag om snel en accuraat een veilige versie te kunnen blijven gebruiken.

18 Juni kwam een onderhouds en beveiligingsupdate uit waarbij meerdere XSS lekken opgelost zijn. Tevens zijn er bugs gefixt waarmee informatie uit de website/database kon worden gevist.

7 September kwam tevens een onderhouds en beveiligingsupdate uit die XSS lekken dichtte.

Samenvatting

2016 bracht enkele XSS lekken. En wat lekke scripts die “door derden geprogrammeerd” zijn.

De paar lekken die WordPress troffen zijn een druppel op een gloeiende plaat in vergelijking met,

De honderden lekken die in plugins gevonden zijn.

Wat je kunt doen tegen lekken

  1. Zoals je hebt kunnen lezen gaat het bij WordPress vooral om injecties, XSS. Die kun je deels tegenhouden met WordPress antivirus.
  2. Dan is het belangrijk om backups van de website te hebben. Mocht er wat gebeuren kun je de data en database terugzetten naar hoe het was voordat de XSS injectie plaatsvond.
  3. Beperk het aantal plugins. Plugins zijn vele malen vaker lek dan WordPress, en dat niet alleen.. het duurt soms heel lang voordat de plugincodeurs de lekken fixen!

2017, wij staan voor je klaar!

Hoe 2017 ook zal verlopen, wij zullen net als het afgelopen jaar alles doen om WordPress websites professioneel, snel en betaalbaar te herstellen & beveiligen.

– Team WPbeveiligen

 

 

Hoe nuttig was dit artikel?

Vergeet niet te delen

1
Reactie
Reageer of stel een vraag
  1. pronl
    pronl zegt:

    Om het lijstje compleet te maken, eind december is bekend geworden dat er een ernstig lek in het PHPMailer script zit.

    Ook dit is een derde partij script dat in veel CMS systemen wordt gebruikt. En ja, dus ook in WordPress.
    De volgende WordPress release (4.7.1) zal een geupdate versie van het PHPMailer script bevatten.

    Volg onderstaande link voor meer details:

    https://www.security.nl/posting/497894/Miljoenen+websites+kwetsbaar+door+ernstig+PHPMailer-lek

    Voor de duidelijkheid, dit is geen WordPress core lek.

    Beantwoorden

Deel je mening of stel een vraag:

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *