Zeer ernstig beveiligingslek leidt tot sluiting van plugin met meer dan 100.000 installaties

Zeer ernstig beveiligingslek leidt tot sluiting van plugin met meer dan 100.000 installaties

Zeer ernstig beveiligingslek leidt tot sluiting van plugin met meer dan 100.000 installaties

Op 1 april 2020 ontdekte het Wordfence Threat Intelligence-team een opgeslagen Cross Site Scripting (XSS) -kwetsbaarheid in Contact Form 7 Datepicker, een WordPress-plugin die op meer dan 100.000 sites is geïnstalleerd. Omdat de github-pagina van de ontwikkelaar van de plug-in aangaf dat de plug-in niet langer werd onderhouden, hebben we contact opgenomen met het team van WordPress-plugins met onze onthulling en zij hebben de plug-in onmiddellijk verwijderd uit de repository ter beoordeling.

Wordfence Threat Intelligence-team hebben ook contact opgenomen met de ontwikkelaar van de plug-in en kregen een reactie dat ze niet van plan waren deze te onderhouden en tevreden waren met het verwijderen van de plug-in uit de repository.

Wordfence webapplication-Firewall biedt enige bescherming

Alle Wordfence-gebruikers, inclusief Wordfence-gratis en Wordfence Premium-gebruikers, worden beschermd tegen dit beveiligingslek door de ingebouwde XSS-beveiliging van Wordfence Firewall.

Aanbevolen: Desalniettemin raadt Wordfence en wij van Solutions4Hosting ten zeerste aan deze plug-in te deactiveren en te verwijderen.

Wat moet ik doen?

Hoewel alle sites met de Wordfence-webapplicatie-firewall moeten worden beschermd tegen dit zeer ernstige beveiligingslek, raadt Wordfence ten zeerste aan de Contact Form 7 Datepicker-plugin te deactiveren en te verwijderen als deze op uw site is geïnstalleerd. Als uw site Wordfence gebruikt, moet de scanner u waarschuwen als een van uw plug-ins kwetsbaar is of uit de WordPress-repository is verwijderd.

Aangezien de Contact Form 7 Datepicker-plug-in niet langer wordt onderhouden, zal deze waarschijnlijk nooit worden gepatcht, dus het kan verstandig zijn om te zoeken naar een alternatieve plug-in met vergelijkbare functionaliteit.
Vanwege het aantal sites dat wordt beïnvloed door de sluiting van deze plug-in, verstrekt Wordfence Threat Intelligence-team opzettelijk minimale details over dit beveiligingslek om wijdverbreide exploitatie te voorkomen.
Wordfence Threat Intelligence-team zal de situatie blijven volgen en meer details verstrekken in een toekomstige update.

Wordfence Security blog

Lees voor gedetailleerde informatie op https://www.wordfence.com/blog/2020/04/high-severity-vulnerability-leads-to-closure-of-plugin-with-over-100000-installations/

Extra ondersteuning nodig? Wij kunnen u helpen!

Bij het afnemen van ons Website Onderhoud gaan wij uw website updaten en onderhouden. Alle gebruikte scripts en het CMS/CRM systeem en plug-ins/modules zullen dan de nieuwste versie geïnstalleerd krijgen zodat u minder gevoelig bent eventueel binnendringen van buitenaf en uw website niet misbruikt kan worden.
Bij kritieke beveiligingslekken zullen wij deze meteen naar de nieuwste versie bijwerken.
Voor vragen of wilt u meer informatie over deze dienst of om gebruik te maken van deze dienst, neemt u gerust contact met ons op via  info@solutions4hosting.nl

Kijkt u voor meer informatie op onze website: www.solutions4hosting.nl/website-diensten/website-onderhoud/