Er is sinds gister een nieuwe versie van WordPress (4.1.2) uitgebracht. Dit is een kritische security release en adviseren om uw website zo snel mogelijk te updaten.
WordPress versies 4.1.1 en eerder zijn vatbaar voor Cross-site Scripting (XSS). Via deze manier kan er kwaadaardige code worden geïnjecteerd.
Er zijn ook een aantal andere kwetsbaarheden opgelost:
- In WordPress 4.1 en hoger was het mogelijk om bestanden te uploaden met onveilige bestandsnamen.
- In WordPress 3.9 en hoger was en het (beperkt) mogelijk gebruik te maken van Cross-site Scripting.
- Sommige plugins waren kwetsbaar voor een SQL injection.
Eerder al werd de Cross-site Scripting kwetsbaarheid al gevonden in een groot aantal plugins waaronder:
- Jetpack
- WordPress SEO
- Google Analytics by Yoast
- All In one SEO
- Gravity Forms
- Multiple Plugins from Easy Digital Downloads
- UpdraftPlus
- WP-E-Commerce
- WPTouch
- Download Monitor
- Related Posts for WordPress
- My Calendar
- P3 Profiler
- Give
- Multiple iThemes products including Builder and Exchange
- Broken-Link-Checker
- Ninja Forms
Inmiddels is voor al de bovenstaande plugins allemaal een update beschikbaar.
Afhankelijk van de instellingen van de updates van WordPress is uw website wellicht al automatisch ge-update. Mocht dit niet het geval zijn dan raden wij u aan om zo snel mogelijk te doen! De plugins updaten niet automatisch en moeten dus nog handmatig worden ge-update.
Wilt u ondersteuning bij het updaten van WordPress en/of plugins? Neem dan gerust contact met ons op. Als u zich geen zorgen wil maken over de veiligheid en stabiliteit van uw WordPress website dan kunnen wij dit voor uit handen nemen door middel van een onderhouds abonnement.
Heeft u al een onderhouds abonnement? Dan hoeft u niets te doen, uw websites zijn al ge-update.