In de versies 4.2, 4.1.2, 4.1.1, en 3.9.3 van WordPress is een zogenaamde Cross-Site Scripting (XSS) kwetsbaarheid geconstateerd.
Kundige kwaadwilligen kunnen hier misbruik van maken.
Hiervoor moeten zij JavaScript code in de WordPress database injecteren. Dat is, door die kwetsbaarheid, mogelijk via het plaatsen van een Reactie.
Met behulp van die code zouden de gegevens in die database kunnen worden verminkt. De site zou hierdoor onbruikbaar kunnen worden.
Er wordt gewerkt aan een oplossing, maar die is nog niet beschikbaar.
Zodra er een patch beschikbaar is zal deze automatisch worden geïnstalleerd. Tenzij je dit expliciet hebt uitgeschakeld.
Meer achtergrondinformatie is beschikbaar via Sucuri.
Tijdelijke oplossing
Zolang er nog geen oplossing is, kun je een van de volgende voorzorgsmaatregelen treffen:
- schakel Reacties uit
- installeer en activeer een firewall
Reacties uitschakelen
Voor mijn sites heb ik gekozen voor de eerste optie.
Maak je gebruik van een kindthema van het Genesis Framework, dan kun je eenvoudig de Reacties uitschakelen via de Thema Instellingen van Genesis.
Bij andere thema’s heb ik een wel eens vergelijkbare opties gezien.
Je kunt Reacties ook uitschakelen via de Disable Comments plugin.
En anders handmatig.
Reacties voor nieuwe berichten handmatig uitschakelen
- Ga naar Instellingen >> Reacties
- Haal het vinkje weg voor “
Reacties voor bestaande berichten handmatig uitschakelen
- Ga naar Berichten >> Alle berichten
- Selecteer alle berichten, plaats hiervoor een vinkje voor “Titel”
- Selecteer via het uitrolmenu “Bewerken”
- Druk op de knop [Uitvoeren]
- Kies via het uitrolmenu achter Reacties voor “Niet toestaan”
- Druk op de knop [Bijwerken]
Afhankelijk van het aantal berichten dat je hebt kun je via de Scherminstellingen, het “Aantal items per pagina” verhogen.
Indien je reacties op pagina’s toestaat, moet het bovenstaande herhalen voor Pagina’s.
—
Update: om 21:00 uur Nederlandse tijd is versie 4.2.1 beschikbaar gekomen. Hiermee is de bovengenoemde kwetsbaarheid verholpen.