Inhoudsopgave van: W3 Total Cache vulnerability. Wij hebben een fix!
Categorie: Veiligheid | Tags: lek, oplossing, plugin, w3tc, W3TotalCache, XSS
Vandaag volop in het nieuws:
High Risk XSS Vulnerability Discovered in W3 Total Cache Plugin
High Risk XSS Vulnerability Discovered in W3 Total Cache Plugin
Het lek maakt een XSS mogelijk op de support pagina van W3 Total Cache, waarbij stukken code geïnjecteerd kunnen worden.
Omdat er geen officiële update is van de makers is het advies: uitschakelen!
Of .. pas een patch toe als je weet hoe dat moet.
Alle klanten van ManagedWPHosting.nl zijn veilig!
- We hebben een standaard 2 factor login voor iedereen met het hoogste inlog-niveau (administrator level)
- We hebben de hele support pagina uit voorzorg uitgezet, iedereen die de pagina wil bezoeken wordt tegengehouden en ziet:
Geen klant van ons? Wat moet je nu doen om je site veilig te krijgen?
En .. wat nu als je caching echt nodig hebt? Of als je geen tijd hebt om nu ineens over te stappen op:
- WP fastest cache
- WP super cache
- Batcache
- (en vele anderen)
Kies dan voor deze gratis plugin die we gemaakt hebben. Die schakelt de hele support pagina uit, zonder dat je wat in hoeft te stellen. Dat geeft je ten eerste veiligheid, en ten tweede tijd om naar ons over te stappen of voor een andere caching plugin te kiezen.
Geef je reactie
Als je dit artikel leuk vond, dan moet je deze speciaal geselecteerde artikelen ook lezen!
We hebben overigens gekozen om de hele support pagina van W3 Total Cache dicht te zetten, in plaats van een oplossing waarbij de verantwoordelijke "user input" onveilige $_GET waarden overschreven werden met htmlspecialchars() of intval() versies om de XSS tegen te gaan.
Dit hebben we gedaan, omdat de W3TC support pagina zelden gebruikt wordt, er meerdere manieren zijn om support voor W3TC te krijgen en .. omdat wij graag een update vanuit W3Edge tegemoet zien. Met name het laatste is voor veel WordPress gebruikers een doorn in het oog. De software doet precies wat hij zegt te kunnen, al moet je vaak wel geduld hebben om voor jouw site de juiste configuratie te bereiken. Maar PHP 7 support is met de laatste versie ook slecht waardoor je error log lekker gevuld wordt .. om maar wat te noemen. Echt de hoogste tijd voor een update dus.
Gelukkig is er een nieuwe versie uitgekomen, sneller dan verwacht. Deze nieuwe versie 0.9.5 zegt "een XSS" lek te fixen, eindelijk PHP 7 support en memcached beter te krijgen. Wij willen de nieuwe versie even afwachten, er zit HEEL veel in, dus niet alleen een paar fixes.