WhatsApp Chat

WordPress kwetsbaarheden Mei 2020

In dit artikel behandelen we een aantal van recent ontdekte WordPress plugin kwetsbaarheden. Aanbevolen wordt om deze plugins zo snel mogelijk te updaten of te verwijderen.

Dit artikel delen we op in de volgende categorieen:

  1. WordPress core
  2. WordPress plugins
  3. WordPress thema’s

Ieder “lek” beoordelen we in de 4 gevarencategorieën: Laag, Medium, Hoog of Extreem hoog

WordPress Core kwetsbaarheden

Deze maand zijn er voor zo ver bekend geen WordPress kwetsbaarheden gemeld.

WordPress Plugin kwetsbaarheden

Er zijn een aantal plugins waarvan bekend is dat deze kwetsbaarheden in de beveiliging hebben. Wees er dus zeker van dat de aanbevolen actie onder de plugin uitgevoerd wordt, of verwijder de hele plugin.

WP Advanced Search (Hoog)

WP-Advanced-Search versie 3.3.6 en lager hebben een Authenticated SQL Injection beveiligingslek.

Dit beveiligingslek is gedicht en aanbevolen wordt deze plugin te updaten naar versie 3.3.7

LearnPress (Hoog)

LearnPress versies onder v3.2.6.9 hebben meerdere kritische kwetsbaarheden.

Dit beveiligingslek is gedicht en aanbevolen wordt deze plugin te updaten naar versie 3.2.6.9

Gmedia Photo Gallery (Medium)

Gmedia Photo Gallery versies lager dan 1.18.5 hebben meerdere Cross-Site Scripting beveiligingslekken.

Dit beveiligingslek is gedicht en aanbevolen wordt deze plugin te updaten naar versie 1.18.5

Ninja Forms (Hoog)

Ninja Forms versies lager dan 3.4.24.2 hebben een CSRF (cross site request forgery) op opgeslagen XSS beveiligingslek.

Dit beveiligingslek is gedicht en aanbevolen wordt deze plugin te updaten naar versie 3.4.24.2

Advanced Order Export For WooCommerce (Laag)

Advanced Order Export for WooCommerce versies lager dan 3.1.4 hebben een Authenticated Cross-Site Scripting beveiligingsprobleem.

Dit beveiligingslek is gedicht en aanbevolen wordt deze plugin te updaten naar versie 3.1.4.

Elementor (Medium)

Elementor versies onder 2.9.8 hebben een SVG Sanitizer Bypass waardoor er XSS in de afbeelding geplaatst kan worden.

Dit beveiligingslek is gedicht en aanbevolen wordt deze plugin te updaten naar versie 2.9.8.

Ultimate Addons voor Elementor (Hoog)

Ultimate Addons voor Elementor versies onder 1.24.2 hebben een Registratie Bypass beveiligingslek.

Dit beveiligingslek is gedicht en aanbevolen wordt deze plugin te updaten naar versie 1.24.2.

Elementor Pro (Hoog)

Elementor Pro versies tot v2.9.4 hebben een Authenticated Arbritary File upload beveiligingsprobleem.

Dit beveiligingslek is gedicht en aanbevolen wordt deze plugin te updaten naar versie 2.9.4.

Page Builder van SiteOrigin (Hoog)

PageBuilder by SiteOrigin versies tot 2.10.16 hebben een CSRF op Cross-Site scripting beveiligingslek.

Dit beveiligingslek is gedicht en aanbevolen wordt deze plugin te updaten naar versie 2.9.4.

WooCommerce (Laag)

WooCommerce versies beneden 4.1.0 hebben Unescaped Metadate als producten worden gedupliceerd.

Dit beveiligingslek is gedicht en aanbevolen wordt deze plugin te updaten naar versie 4.1.0.

WordPress Thema’s

Avada (Hoog)

Avada versies tot 6.2.3 hebben een beveiligingslek waardoor er ongeoorloofd berichten aangemaakt, gewijzigd en verwijderd kunnen worden.

Dit beveiligingslek is gedicht en aanbevolen wordt deze plugin te updaten naar versie 6.2.3.

Hoe voorkom je dat er beveiligingslekken ontstaan in jouw WordPress website?

Verouderde software is de hoofdreden dat WordPress websites worden gehackt. Het is van levensbelang dat jouw (of jouw klant zijn) WordPress regelmatig wordt geupdate. Wij adviseren om dit minimaal 1x per maand uit te voeren.

Onder het updaten van een WordPress website verstaan we het volgende:

  1. Maken van een backup
  2. Updaten van de WordPress core (WordPress zelf)
  3. Updaten van de WordPress plugins
  4. Verwijderen van ongebruikte plugins
  5. Optimaliseren van de database
  6. Controleren of de website nog naar behoren werkt

Wil je er zeker van zijn dat jouw WordPress website vrij blijft van hackers, spammers en ander publiek die niet in jouw bestanden mogen rondneuzen? En wil je hier zelf geen omkijken naar hebben? Wij ontzorgen je hier graag bij.
Ons technisch team monitort dagelijks jouw website en backupt, update en checkt jouw website maandelijks zonder dat je hier iets van merkt.

Heb je vragen over het up-to-date houden van jouw WordPress website?
Neem dan contact op met Rienco via 0527-86 02 85 of mail helpdesk@teqz.nl.