Voor eigenaren van een WordPress-sites is er deze week een belangrijke beveiligingsupdate uitgekomen die een kwetsbaarheid verhelpt waardoor een aanvaller de website volledig kan overnemen. Volgens de ontwikkelaars van WordPress gaat het om een kritieke cross-site scriptingkwetsbaarheid waarmee anonieme gebruikers de website kunnen compromitteren.
Het lek, dat door de Belgische beveiligingsonderzoeker Cedric van Bockhaven werd ontdekt, is aanwezig in WordPress 4.1.1 en ouder. Naast deze kwetsbaarheid zijn ook drie andere lekken verholpen. De impact van deze lekken zijn echter minder ernstig van aard. De ontwikkelaars van WordPress melden in de aankondiging van de update dat er deze week ook voor verschillende plug-ins beveiligingsupdates zijn uitgebracht. "Hou alles up-to-date om veilig te blijven", zegt Gary Pendergast van WordPress.
Ongepatchte plug-ins en WordPress-installaties zijn namelijk een voorname reden waardoor aanvallers websites weten te kapen. Zo bleek eind maart dat duizenden WordPress-websites waren gehackt via een lek in een populaire plug-in waar al geruime tijd een update voor beschikbaar is. De gehackte sites werden vervolgens gebruikt voor de verspreiding van malware. Vanwege de ernst van de nu gepatchte kwetsbaarheid heeft ook het Readiness Team van de Amerikaanse overheid (US-CERT) een waarschuwing afgegeven en adviseert beheerders om naar WordPress 4.1.2 te upgraden.
Deze posting is gelocked. Reageren is niet meer mogelijk.