Vandaag volop in het nieuws:
High Risk XSS Vulnerability Discovered in W3 Total Cache Plugin

High Risk XSS Vulnerability Discovered in W3 Total Cache Plugin

Het lek maakt een XSS mogelijk op de support pagina van W3 Total Cache, waarbij stukken code geïnjecteerd kunnen worden.
Omdat er geen officiële update is van de makers is het advies: uitschakelen!
Of .. pas een patch toe als je weet hoe dat moet.

Alle klanten van ManagedWPHosting.nl zijn veilig!

  1. We hebben een standaard 2 factor login voor iedereen met het hoogste inlog-niveau (administrator level)
  2. We hebben de hele support pagina uit voorzorg uitgezet, iedereen die de pagina wil bezoeken wordt tegengehouden en ziet:

w3totalcache_vulnerabilty_stopped

Geen klant van ons? Wat moet je nu doen om je site veilig te krijgen?

En .. wat nu als je caching echt nodig hebt? Of als je geen tijd hebt om nu ineens over te stappen op:

  • WP fastest cache
  • WP super cache
  • Batcache
  • (en vele anderen)

Kies dan voor deze gratis plugin die we gemaakt hebben. Die schakelt de hele support pagina uit, zonder dat je wat in hoeft te stellen. Dat geeft je ten eerste veiligheid, en ten tweede tijd om naar ons over te stappen of voor een andere caching plugin te kiezen.


Geef je reactie

Je e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *

2 responses to “W3 Total Cache vulnerability. Wij hebben een fix!”

  1. We hebben overigens gekozen om de hele support pagina van W3 Total Cache dicht te zetten, in plaats van een oplossing waarbij de verantwoordelijke "user input" onveilige $_GET waarden overschreven werden met htmlspecialchars() of intval() versies om de XSS tegen te gaan.

    Dit hebben we gedaan, omdat de W3TC support pagina zelden gebruikt wordt, er meerdere manieren zijn om support voor W3TC te krijgen en .. omdat wij graag een update vanuit W3Edge tegemoet zien. Met name het laatste is voor veel WordPress gebruikers een doorn in het oog. De software doet precies wat hij zegt te kunnen, al moet je vaak wel geduld hebben om voor jouw site de juiste configuratie te bereiken. Maar PHP 7 support is met de laatste versie ook slecht waardoor je error log lekker gevuld wordt .. om maar wat te noemen. Echt de hoogste tijd voor een update dus.

    • Gelukkig is er een nieuwe versie uitgekomen, sneller dan verwacht. Deze nieuwe versie 0.9.5 zegt "een XSS" lek te fixen, eindelijk PHP 7 support en memcached beter te krijgen. Wij willen de nieuwe versie even afwachten, er zit HEEL veel in, dus niet alleen een paar fixes.

Geef je reactie

Je e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *

Ervaringen van anderen

Lees ook

  • W3 Total Cache & Woocommerce page caching

    The quest for speed

    Snelheid nodig voor uw Woocommerce webshop? Goed! Maar hoe zorgen we ervoor wat de winkelmandjes goed blijven werken? Heel simpel, vul deze twee regeltjes in bij W3TotalCache Page cache -> Rejected cookies:

  • Is W3 Total Cache wel echt nodig?

    The quest for speed

    Stel, je gebruikt een snelle varnish cache of wellicht een Nginx microcache, heb je dan wel W3TC nodig? Laten we uitgaan van een situatie waarin page caching al geregeld is door een (andere) cache plugin, varnish of Nginx microcache. Er zijn daarnaast een aantal zaken die met deze plugin juist heel goed te regelen zijn […]

  • W3 Total Cache beste instellingen

    The quest for speed

    Veel geprezen, maar ook zeer gevreesd .. de alleskunnner W3TC. De plugin kan veel en heeft ook heel veel instellingen. Wij hebben een stappenplan om zo de beste cache instellingen te krijgen voor je site.