Wordfence Security

Zeer ernstig beveiligingslek leidt tot sluiting van plugin met meer dan 100.000 installaties

Zeer ernstig beveiligingslek leidt tot sluiting van plugin met meer dan 100.000 installaties

Op 1 april 2020 ontdekte het Wordfence Threat Intelligence-team een opgeslagen Cross Site Scripting (XSS) -kwetsbaarheid in Contact Form 7 Datepicker, een WordPress-plugin die op meer dan 100.000 sites is geïnstalleerd. Omdat de github-pagina van de ontwikkelaar van de plug-in aangaf dat de plug-in niet langer werd onderhouden, hebben we contact opgenomen met het team van WordPress-plugins met onze onthulling en zij hebben de plug-in onmiddellijk verwijderd uit de repository ter beoordeling.

Wordfence Threat Intelligence-team hebben ook contact opgenomen met de ontwikkelaar van de plug-in en kregen een reactie dat ze niet van plan waren deze te onderhouden en tevreden waren met het verwijderen van de plug-in uit de repository.

Wordfence webapplication-Firewall biedt enige bescherming

Alle Wordfence-gebruikers, inclusief Wordfence-gratis en Wordfence Premium-gebruikers, worden beschermd tegen dit beveiligingslek door de ingebouwde XSS-beveiliging van Wordfence Firewall.

Aanbevolen: Desalniettemin raadt Wordfence en wij van Solutions4Hosting ten zeerste aan deze plug-in te deactiveren en te verwijderen.

Wat moet ik doen?

Hoewel alle sites met de Wordfence-webapplicatie-firewall moeten worden beschermd tegen dit zeer ernstige beveiligingslek, raadt Wordfence ten zeerste aan de Contact Form 7 Datepicker-plugin te deactiveren en te verwijderen als deze op uw site is geïnstalleerd. Als uw site Wordfence gebruikt, moet de scanner u waarschuwen als een van uw plug-ins kwetsbaar is of uit de WordPress-repository is verwijderd.

Aangezien de Contact Form 7 Datepicker-plug-in niet langer wordt onderhouden, zal deze waarschijnlijk nooit worden gepatcht, dus het kan verstandig zijn om te zoeken naar een alternatieve plug-in met vergelijkbare functionaliteit.
Vanwege het aantal sites dat wordt beïnvloed door de sluiting van deze plug-in, verstrekt Wordfence Threat Intelligence-team opzettelijk minimale details over dit beveiligingslek om wijdverbreide exploitatie te voorkomen.
Wordfence Threat Intelligence-team zal de situatie blijven volgen en meer details verstrekken in een toekomstige update.

Wordfence Security blog

Lees voor gedetailleerde informatie op https://www.wordfence.com/blog/2020/04/high-severity-vulnerability-leads-to-closure-of-plugin-with-over-100000-installations/

Extra ondersteuning nodig? Wij kunnen u helpen!

Bij het afnemen van ons Website Onderhoud gaan wij uw website updaten en onderhouden. Alle gebruikte scripts en het CMS/CRM systeem en plug-ins/modules zullen dan de nieuwste versie geïnstalleerd krijgen zodat u minder gevoelig bent eventueel binnendringen van buitenaf en uw website niet misbruikt kan worden.
Bij kritieke beveiligingslekken zullen wij deze meteen naar de nieuwste versie bijwerken.
Voor vragen of wilt u meer informatie over deze dienst of om gebruik te maken van deze dienst, neemt u gerust contact met ons op via  info@solutions4hosting.nl

Kijkt u voor meer informatie op onze website: www.solutions4hosting.nl/website-diensten/website-onderhoud/