Vandaag is een belangrijke patch uitgebracht, waarmee een kritiek beveiligingslek in WordPress wordt gedicht. Kwaadwillenden konden door deze ernstige kwetsbaarheid zichzelf toegang verschaffen via een nagemaakt authenticatie-cookie.
Gebruikers van het immens populaire contentmanagementsysteem kunnen het lek eenvoudig dichten door WordPress te updaten naar versie 3.8.2. WordPress is automatisch bijgewerkt voor wie dit heeft ingesteld. Voor wie dit niet heeft ingesteld, raden wij sterk aan om zo snel mogelijk de update uit te voeren. Hoe je dit precies doet, kun je verderop in dit artikel lezen.
Het onlangs ontdekte beveiligingslek is niet alleen in versie 3.8 van WordPress aanwezig, maar ook in versie 3.7, en in een vroege versie van 3.9 – waarvan de officiële introductie pas volgende week moet plaatsvinden. WordPress heeft inmiddels voor al deze versies updates uitgebracht, die het lek dichten.
WordPress 3.8.2
WordPress geeft aan zelf de kwetsbaarheid te hebben gevonden en is zodoende met versie 3.8.2 gekomen, die nog eens drie kleinere lekken dicht en negen bugs herstelt. Een patch helpt kwaadaardige requests bij pingbacks onschadelijk te maken, een mogelijkheid om SQL-injecties uit te voeren is verholpen, en een mogelijkheid om cross-domain scripting via de Plupload-bilbliotheek uit te voeren is onschadelijk gemaakt.
De patch voor het lek in de authenticatiecode heeft de naam CVE-2014-0166 gekregen. Meer informatie kun je vinden op de officiële pagina van WordPress.
Hoe update ik WordPress?
Het is erg belangrijk om WordPress up-to-date te houden, zodat kwaadwillenden niet de kans krijgen om misbruik te maken van beveiligingslekken. Het updaten van WordPress is zeer eenvoudig uit te voeren en gaat als volgt.
- Log in op de back-end van je WordPress-website.
- Kies uit het menu aan de rechterkant voor ‘Updates’ en klik vervolgens op ‘Update now’.
WordPress wordt nu geüpdatet naar de laatste versie, dus naar versie 3.8.2. Zodra dit is voltooid zal hier een melding van worden gegeven.
Automatisch detecteren en repareren van lekken
Antagonist maakt sinds november 2013 actief gebruik van Patchman. Dit systeem is met met eigen technologie ontwikkeld, en stelt hostingproviders instaat om automatisch beveiligingslekken in websites van klanten te detecteren en klanten erover te informeren. Indien gewenst kan zowel de klant, als de hostingprovider een automatisch reparatie door het systeem laten uitvoeren. Antagonist is de eerste hostingprovider ter wereld die gebruik maakt van dit unieke systeem. Met de introductie ervan, in november 2012, behaalde Antagonist een wereldprimeur.
Voorkomen is beter dan genezen!
Gezien het feit dat WordPress en veel andere eenvoudig te beheren CMS’en, zoals Joomla en Drupal, sterk in populariteit toenemen, is een dergelijk beveiligingssysteem een waardevolle toevoeging op de dienstverlenging. Het helpt klanten bij het beveiligen en up-to-date houden van hun websites.
De beveiliging van een website is namelijk zeer belangrijk. Het voorkomt misbruik door kwaadwillenden en onnodige downtime. Antagonist probeert met deze proactieve houding in te spelen op het idee dat voorkomen beter is dan genezen. Wie kiest voor een gemakkelijk contentmanagementsysteem, en zich liever niet verdiept in kwetsbaarheden, hoeft zich zo geen zorgen te maken.
P.S. Wil je op de hoogte blijven van alle artikelen, tips en trucs die verschijnen op ons blog? Dat kan! Rechts bovenin via RSS, e-mail, het liken van onze Facebook-pagina of het volgen op Twitter.