Maak je gebruik van de Jetpack plugin voor je WordPress website? Dan is het belangrijk dat je zo snel mogelijk update naar de nieuwste versie (Jetpack 4.0.3), als je dat nog niet had gedaan. Er zit namelijk een kwetsbaarheid in die de veiligheid van je WordPress website in gevaar brengt.

 

Jetpack plugin

De Jetpack plugin (die gemaakt is door Automattic, het bedrijf dat ook WordPress zelf heeft gemaakt) biedt WordPress gebruikers de mogelijkheid hun website te optimaliseren, te beheren en te beveiligen. Daarnaast geeft deze plugin gebruikers de mogelijkheid om externe media zoals video’s, afbeeldingen, documenten en tweets in hun content te embedden. De plugin wordt door meer dan een miljoen WordPress websites gebruikt.

Lek

Het gaat om een zogeheten cross-site scripting (XXS) kwetsbaarheid in de Jetpack plugin. Door het lek kunnen hackers malafide JavaScript code injecteren, cookies stelen en bezoekers naar verdachte websites doorsturen. WordPress websites die geen gebruik maken van de Shortcode Embeds module van Jetpack, hebben geen last van de kwetsbaarheid. Maar aangezien deze module heel veel handige functies heeft is de kans groot dat veel websites deze aan hebben staan. Daarbij staat de module bij alle nieuwe Jetpack installaties standaard ingeschakeld.

Update

Het lek is ontdekt door beveiligingsbedrijf Sucuri. Jetpack maker Automattic heeft inmiddels een update uitgebracht. “De kwetsbaarheid kan makkelijk worden misbruikt via WordPress comments en wij raden iedereen aan zo snel mogelijk te updaten mocht je dat nog niet gedaan hebben,” aldus Marc-Alexandre Montpas van Sucuri. In dit artikel kun je lezen hoe je de Jetpack plugin kunt updaten. Wil je liever niet updaten naar versie 4.0.3, dan is het ook mogelijk om je huidige Jetpack versie te patchen. Het is echter wel aan te raden om altijd de nieuwste versie van de Jetpack plugin te draaien. Dat geldt overigens voor alle WordPress plugins.

Update

Laat u het onderhoud van uw Plugins uitvoeren door FDMstudio, dan hoeft u verder niets te doen.

 


Sunday, June 5, 2016

« Terug