4 feb 2017
In WordPress 4.7.0 is een nieuwe API toegevoegd die onveilig blijkt te zijn.
De nieuwe REST API die standaard aan staat bij alle WordPress 4.7.0 releases kan worden gebruikt om berichten aan te passen, zonder dat je administrator rechten hebt.
Dit is de droom van iedere hacker! Het aanpassen van berichten zou er met geautomatiseerde injecties voor kunnen zorgen dat miljoenen sites ongewenste tekst, reclame en links gaan tonen.
Zwijgen is goud
De makers van WordPress kregen het lek te horen van een groot beveiligingsbedrijf. Vanaf dat moment hebben de ontwikkelaars achter WordPress overuren gedraaid om het lek te testen en op te lossen.
Om de hackers geen voorsprong te geven hebben ze de wetenschap van het lek stil gehouden en een geforceerde update doorgevoerd. Pas een week na de update van miljoenen sites is het nieuws naar buiten gekomen.
Wat is een geforceerde update?
Deze geforceerde update is anders dan iedere reguliere update. Je kunt er normaal gesproken voor kiezen of je WordPress automatisch wilt updaten of niet.
Deze update naar 4.7.2 is gefoforceerd doorgevoerd, ook bij website waar “automatisch updates” uit staat.
Wie zet automatische updates uit?
Je zou verwachten dat het automatisch updaten alleen maar voordelen heeft. Je hoeft zelf niet op te letten of er een update is en je website loopt nooit achter.
Maar soms.. zijn de plugins die je gebruikt niet up-to-date of worden er zelfs geen updates meer geleverd voor de plugins.
Op zo’n moment kan de nieuwe WordPress release botsen met je plugin waardoor de plugin niet meer werkt of errors op je website gaat tonen.
En als je dat niet doorhebt omdat de update automatisch gedaan is..
Wat doet WPbeveiligen met updates?
Bij websites met 2-5 plugins is het relatief veilig om updates automatisch door te laten voeren, maar als je spreekt over een website met 8-20 plugins.. Dan doen wij de updates liever handmatig, vooral in het geval van de plugins. Tussen het updaten checken wij de website om te zien of alles nog werkt, en wanneer er dan een error optreedt weten we direct waar het door komt!
@Femke van Houts,
Dat komt niet vaak voor bij updates. Het opnieuw uploaden van WordPress lijkt dan ook geen oplossing om de mislukte update te fixen.
Een kijkje in de database of het aanvragen van een nieuw wachtwoord via de e-mail lijkt mij beter.
Door deze update kreeg ik een foutmelding en nu is mijn site offline en kan ik niet meer inloggen in wordpress. WordPress zegt mijn username niet te kennen. HELP!!!