Kritisch veiligheidslek in AVG-plugin: onmiddellijke update vereist

Johannes Benz Laatst bijgewerkt op 20.10.2020
2 Min.
Beveiligingsinbreuk AVG Plugin WordPress

Momenteel is er een kritieke beveiligingslek in Plugin WP GDPR Compliance. Als u deze Plugin hebt geïnstalleerd, moet u deze zo snel mogelijk bijwerken naar de nieuwste versie 1.4.3.

Achtergrond: In versie 1.4.2 konden niet-gemachtigde gebruikers in principe alle acties uitvoeren op de WordPress website en in het bijzonder een eigen gebruiker met admin-rechten aanmaken.

WordPress -Gebruikers controleren

U moet dus ook de lijst van WordPress gebruikers op uw website controleren. De spammer heeft zich hier altijd geregistreerd onder de naam t2trollherten met het postadres trollherten@mail.com geregistreerd.

Een van de meest effectieve hacks van de laatste tijd

Helaas zijn beveiligingslekken in Plugins nooit uit te sluiten. Maar de eenvoud van de hack en de effectiviteit waren deze keer verbluffend. De Plugin heeft meer dan 100.000 installaties! Dat dit uitgerekend gebeurt op een gegevensbeschermingssitePlugin is natuurlijk ironisch.

Wat kan er gebeuren?

De gebruiker heeft admin-rechten. Hij kan dus verschillende wijzigingen op de pagina aanbrengen. Onze klanten hebben echter aangetoond dat hier geen onmiddellijke veranderingen zijn aangebracht. Ook in scans, die werden uitgevoerd met de veiligheids-Plugin Wordfence heeft geen kritieke gevallen ontdekt.

Dit is hoe je te werk moet gaan

1. actualiseer de Plugin WP GDPR Compliance naar de laatste versie 1.4.3. 2.
2. de verkeerde WordPress gebruiker verwijderen (bijv. t2trollherten).

Om een WordPress gebruiker te verwijderen, gaat u als volgt te werk:

  1. Log in op uw pagina
  2. Klik op Gebruikers → Alle gebruikers in het WordPress dashboard.
  3. Om een gebruiker te verwijderen, selecteert u hem via het selectievakje links en kiest u vervolgens de optie "verwijderen" in de vervolgkeuzelijst met meerdere acties bovenaan.

3. installeer de Plugin Wordfence en voer een scan uit. De scanintensiteit kan op hoog worden ingesteld. Als u de Plugin wilt houden, kunt u bij onze Beveiliging-Plugin-vergelijking beter evalueren.

Als u een reservesysteem kunt u ook de backup van maandag (5 november) terugzetten. De kans dat iemand voor die tijd toegang krijgt tot uw site is vrij klein, aangezien de acute hacks pas op donderdag (8 november) plaatsvonden. Maar daarna moet u Plugin wel bijwerken.

Alternatief AVG-Plugin: Als u zich zorgen maakt over deze GDPR-Plugin , raden wij u WP AVG Tools aan. als een alternatief.

Hoe kan zo'n hack in de toekomst worden voorkomen?

Een beproefde manier om een dergelijke hack te voorkomen is het gebruik van automatische Plugin updates. Als managed WordPress hoster is dit een van onze kernaanbiedingen om onze klanten zo veel mogelijk werk uit handen te nemen en zo meer vrijheid voor hen te creëren.

In dit specifieke geval, de Fully Managed klanten de Plugin update naar de veilige versie 1.4.3 werd uitgevoerd in de nacht van 8 november. Deze klanten werden dus niet getroffen door de hack.

Indien u gebruik wenst te maken van ons Fully Managed tarief voor 20 Euro in plaats van 30 Euro (netto) per maand, gelieve dan de volgende link te gebruiken: Fully Managed Special. De korting is automatisch beschikbaar wanneer u uw BOX na de proefperiode activeert. RAIDBOXES klanten kunnen via de chat upgraden naar het Fully Managed tarief.

Verwante artikelen

Reacties op dit artikel

Laat een opmerking achter

Jouw e-mailadres zal niet worden gepubliceerd. Verplichte velden zijn met een * gemarkeerd.