image

Nieuw WordPress-lek minder erg dan eerst aangekondigd

donderdag 23 juli 2015, 17:20 door Redactie, 7 reacties

Er is een nieuwe versie van het populaire contentmanagementsysteem (CMS) WordPress verschenen waarin een lek is gepatcht dat minder erg is dan in eerste instantie werd aangekondigd. De makers van WordPress kondigden vanmiddag aan dat er een kritieke update voor WordPress 4.2.2 was verschenen.

Een cross-site scripting (XSS)-kwetsbaarheid zou het voor anonieme gebruikers mogelijk maken om websites volledig over te nemen. Inmiddels is de tekst van de aankondiging aangepast en is het woord "kritiek" verwijderd. Daarnaast blijkt dat anonieme gebruikers websites niet kunnen overnemen. Het lek is alleen aan te vallen door gebruikers die de rol van contributor of auteur hebben, zo blijkt uit de nieuwe tekst. De vorige versie is nog in de cache van Google te vinden. Naast het XSS-lek zijn ook 20 andere bugs verholpen. Gebruikers krijgen het advies om hun websites direct naar WordPress 4.2.3 te updaten.

Reacties (7)
23-07-2015, 17:49 door Anoniem
Maar we leren er niet van. Nee, we blijven gewoon doorgaan met het gebruiken van Wordpress.
23-07-2015, 21:01 door Anoniem
Door Anoniem: Maar we leren er niet van. Nee, we blijven gewoon doorgaan met het gebruiken van Wordpress.
Gelukkig komen Wordpress-lekken maar zelden voor... ;-)
Onbegrijpelijk dat zo'n gatenkaas cms nog steeds zo populair is.
23-07-2015, 21:06 door Ramon.C
Door Anoniem: Maar we leren er niet van. Nee, we blijven gewoon doorgaan met het gebruiken van Wordpress.

Of je houd je WP site up-to-date. Alle CMS systemen worden na enige tijd kwetsbaar doordat er nieuwe lekken worden ontdekt niet alleen bij WP. Aangezien dit de meest gebruikte CMS is op het web dan is het ook geen wonder dat er meer aanvallen plaatsvinden op WP sites dan andere.
24-07-2015, 08:57 door Anoniem
Door Anoniem: Maar we leren er niet van. Nee, we blijven gewoon doorgaan met het gebruiken van Wordpress.
Want elk ander systeem is set-it-and-forget-it. Gewoon automatische updates aanzetten en dan is alles prima.
24-07-2015, 12:03 door B3am
Voor WordPress voor- en tegenstanders is de security presentatie van Tony Perez op de Yoastcon een aanrader.

https://www.youtube.com/watch?v=eoTrjTyAayc
24-07-2015, 13:21 door Anoniem
Ik heb op mijn wordpress site de pushover plugin draaien, dan krijg ik op mijn smartphone een pop-up zodra er updates zijn. Daarna is het dankzij wp-cli http://wp-cli.org/ een kwestie van een commando
wp core update
of
wp plugin update --all
of je zet die commando's in de cron zodat ze iedere nacht worden gedraaid.

a child can do the laundry!
24-07-2015, 23:42 door Anoniem
Door Anoniem: Ik heb op mijn wordpress site de pushover plugin draaien, dan krijg ik op mijn smartphone een pop-up zodra er updates zijn. Daarna is het dankzij wp-cli http://wp-cli.org/ een kwestie van een commando
wp core update
of
wp plugin update --all
of je zet die commando's in de cron zodat ze iedere nacht worden gedraaid.

a child can do the laundry!

Of je vinkt gewoon automatische updates aan... (Dan wordt in ieder geval Wordpress zelf automatisch geupdatet; voor plug-ins zijn er plug-ins die controleren of je plug-ins up to date zijn en die je een e-mail sturen indien dat niet het geval is.)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.