In de afgelopen maand is er weer het een en ander gebeurd in de WordPress (plug-in) community. In deze post lees je informatie over het Bridge thema en de plug-ins Easy FancyBox en Fast Velocity Minify.
De volgende plug-ins (en een thema) zijn in oktober 2019 in opspraak gekomen en vereisen je aandacht. Kijk dus meteen in je eigen site(s) of je een of meerdere van deze boosdoeners gebruikt. Lees ook de september-update, mocht je die gemist hebben.
Bridge theme
Een WordPress-thema is veel meer dan alleen maar een lay-out. Het geeft je website niet alleen vorm en kleur, maar biedt (vaak) extra functionaliteiten. Dit gebeurt door middel van plug-ins die bij een thema worden meegeïnstalleerd.
In het thema Bridge werd er in twee van de meegeleverde plug-ins een open redirect vulnerability gevonden. Hiermee kan een bezoeker van je website zonder al te veel moeite worden doorgestuurd naar een andere website, bijvoorbeeld om inloggegevens te stelen of bestellingen te onderscheppen.
De gemakkelijkste manier om dit ongewenste doorsturen tegen te gaan, is door het thema te updaten naar versie 18.2.1. Daardoor worden ook de meegeleverde plug-ins geüpdatet en heb je er geen last meer van.
Mocht je nou niet willen (of kunnen) updaten, omdat je geen koppeling hebt met de Envato marktplaats of er op een verkeerde manier aanpassingen zijn gedaan aan het thema speciaal voor jouw website, kun je jezelf en je bezoekers toch beschermen. De mannen en vrouwen van Wordfence hebben hiervoor een (engelstalige) handleiding geschreven.
Fast Velocity Minify
Een goede manier om het laden van je website te versnellen, is door het minimaliseren van het aantal te downloaden bestanden. Fast Velocity Minify scant je WordPress website op CSS en JavaScript bestanden, om deze vervolgens samen te voegen tot één bestand.
Door een foutje in het controleren van de rechten, kon het volledige installatie-locatie op de server van de WordPress site worden achterhaald. Geen ernstig probleem op zich, maar het opent wel deuren naar andere aanvallen waarvoor deze informatie essentieel is om te weten.
Door te upgraden naar versie 2.7.7 bescherm je jouw website tegen dit informatie-lek.
Easy FancyBox
Het oog wil ook wat. Een gemakkelijke plug-in om je afbeeldingen op een mooie manier op je website te tonen, is dan een goede oplossing. Easy FancyBox is er zo een.
Heb je een admin-account, dan kun je de afbeeldingen en andere media-bestanden bepaalde extra informatie meegeven. Op die manier kan je bij het instellen van een kleurtje ook extra script-code opslaan. Die code kan vervolgens weer in de browser van de bezoeker uitgevoerd worden, waarna misbruik van een bezoeker kan beginnen.
Om deze kwetsbaarheid te misbruiken, moet er wel al sprake zijn van toegang tot het admin-dashboard. Tenzij iemand jouw inloggegevens heeft, zal het lek dus niet misbruikt kunnen worden.
Desalniettemin is upgraden natuurlijk altijd aan te raden. Vanaf versie 1.8.18 ben je er tegen beschermd.
Andere plug-ins met updates
Bovenstaande drie zijn de plug-ins die het meest gebruikt worden op ons shared hosting platform. Er zijn nog wat minder populaire plug-ins die ook een update kunnen gebruiken. De genoemde versie is de laatst bekende veilige versie van de plug-in.
- SyntaxHighlighter Evolved – 3.5.1
- GiveWP – 2.5.5 (in augustus ook al overigens)
- Theme Editor – 2.3
- Download Plugins and Themes from Dashboard – 1.6.0
Dit artikel is geplaatst op 25 oktober 2019. Het kost je ongeveer 2 minuten om het te lezen.