Kwetsbaarheid gevonden in meerdere WordPress plugins

Enige tijd geleden zijn er kwetsbaarheden ontdekt in diverse WordPress plugins. Door verkeerd gebruik van de functies add_query_arg() en remove_query_arg()konden deze plugins misbruikt worden.

Cross-site scripting (XSS) lek

De kwetsbaarheden bevinden zich in een zogeheten XSS lek. Door deze kwetsbaarheden kunnen ongeautoriseerde gebruikers code injecteren waarbij bijvoorbeeld (klant)gegevens kunnen worden ingezien of administrator rechten worden verkregen.

Helaas is gebleken dat veel plugins de functies add_query_arg() en remove_query_arg() verkeerd gebruiken waardoor de plugins misbruikt kunnen worden. Gelukkig hebben veel plugins dit lek inmiddels gedicht en een update beschikbaar gesteld.

Bron: https://blog.sucuri.net/2015/04/security-advisory-xss-vulnerability-affecting-multiple-wordpress-plugins.html

Lijst van geïnfecteerde plugins:

  • Jetpack
  • WordPress SEO
  • Google Analytics by Yoast
  • All In one SEO
  • Gravity Forms
  • Multiple Plugins from Easy Digital Downloads
  • UpdraftPlus
  • WP-E-Commerce
  • WPTouch
  • Download Monitor
  • Related Posts for WordPress
  • My Calendar
  • P3 Profiler
  • Give
  • Multiple iThemes products including Builder and Exchange
  • Broken-Link-Checker
  • Ninja Forms
  • en mogelijk nog meer..


Ook thema’s geïnfecteerd

Helaas is geconstateerd dat er ook thema’s geïnfecteerd zijn, het is dus raadzaam deze ook te updaten of de ontwikkelaar te raadplegen.
De default theme ‘Twenty Fifteen’ is hier een voorbeeld van, deze is geïnfecteerd via de Genericons icon font set. Op de changelog van WordPress 4.2.2 lees je hier meer over.


Hoe controleer ik of ik up to date ben?

De enige manier om problemen met dit lek te ‘voorkomen’ is door er voor te zorgen dat jouw site + plugins altijd up to date zijn.

Wel goed

Wel goed



Niet goed

Ook kan je de WordPress website extra beveiligen met bijvoorbeeld plugins. Lees daarom ook ons artikel Voorkom hacks en aanvallen op je WordPress-installatie

Maak back-ups voordat je update

Zorg er voor dat je voor het updaten back-ups maakt van jouw bestanden en database. Zo voorkom je eventueel verlies bij een mislukte update.