09.11.18
bijgewerkt 20.10.20
Johannes Benz
0 commentaren
Beveiligingsinbreuk AVG Plugin WordPress

Kritisch veiligheidslek in AVG-plugin: onmiddellijke update vereist

Momenteel is er een kritieke beveiligingslek in plugin WP GDPR Compliance. Als je deze plugin hebt geïnstalleerd, moet je deze zo snel mogelijk bijwerken naar de nieuwste versie 1.4.3.

Achtergrond: In versie 1.4.2 konden niet-gemachtigde gebruikers in principe alle acties uitvoeren op de WordPress website en in het bijzonder een eigen gebruiker met admin-rechten aanmaken.

WordPress -Gebruikers controleren

U moet dus ook de lijst van WordPress gebruikers op uw website controleren. De spammer heeft zich hier altijd geregistreerd onder de naam t2trollherten met het postadres trollherten@mail.com geregistreerd.

Een van de meest effectieve hacks van de laatste tijd

Helaas zijn beveiligingslekken in Plugins nooit uit te sluiten. Maar de eenvoud van de hack en de effectiviteit waren deze keer verbluffend. De Plugin heeft meer dan 100.000 installaties! Dat dit uitgerekend gebeurt op een gegevensbeschermingssitePlugin is natuurlijk ironisch.

Wat kan er gebeuren?

De gebruiker heeft admin-rechten. Hij kan dus verschillende wijzigingen op de pagina aanbrengen. Onze klanten hebben echter aangetoond dat hier geen onmiddellijke veranderingen zijn aangebracht. Ook in scans, die werden uitgevoerd met de veiligheids-Plugin Wordfence heeft geen kritieke gevallen ontdekt.

Zo moet je te werk gaan

1. actualiseer de Plugin WP GDPR Compliance naar de laatste versie 1.4.3. 2.
2. de verkeerde WordPress gebruiker verwijderen (bijv. t2trollherten).

Om een WordPress gebruiker te verwijderen, gaat u als volgt te werk:

  1. Inloggen op je pagina
  2. Klik op Gebruikers → Alle gebruikers in het WordPress dashboard.
  3. Om een gebruiker te verwijderen, selecteert u hem via het selectievakje links en kiest u vervolgens de optie "verwijderen" in de vervolgkeuzelijst met meerdere acties bovenaan.

3. installeer de Plugin Wordfence en voer een scan uit. De scanintensiteit kan op hoog worden ingesteld. Als u de Plugin wilt houden, kunt u bij onze Beveiliging-Plugin-vergelijking beter evalueren.

Als u een reservesysteem kunt u ook de backup van maandag (5 november) terugzetten. De kans dat iemand voor die tijd toegang krijgt tot uw site is vrij klein, aangezien de acute hacks pas op donderdag (8 november) plaatsvonden. Maar daarna moet u Plugin wel bijwerken.

Alternatief AVG-Plugin: Als u zich zorgen maakt over deze GDPR-Plugin , raden wij u WP AVG Tools aan. als een alternatief.

Hoe je zo'n hack in de toekomst kunt voorkomen

Een beproefde manier om een dergelijke hack te voorkomen is het gebruik van automatische Plugin updates. Als managed WordPress hoster is dit een van onze kernaanbiedingen om onze klanten zo veel mogelijk werk uit handen te nemen en zo meer vrijheid voor hen te creëren.

In dit specifieke geval, de Fully Managed klanten de Plugin update naar de veilige versie 1.4.3 werd uitgevoerd in de nacht van 8 november. Deze klanten werden dus niet getroffen door de hack.

Als je ons Fully Managed tarief wilt gebruiken voor 20 euro in plaats van 30 euro (netto) per maand, kun je de volgende link gebruiken: Fully Managed Speciaal. De korting is dan automatisch beschikbaar als je na de proefperiode je BOX activeert. Raidboxes Klanten kunnen via de chat upgraden naar het Fully Managed tarief.

Vond je het artikel leuk?

Met jouw beoordeling help je ons om onze inhoud nog verder te verbeteren.

Johannes Benz

Johannes is verantwoordelijk voor personeel en financiën op Raidboxes\. Hij is sinds 2012 betrokken bij WordPress. Hij is een voorstander vanholacratie en het algemeen welzijn en loopt in zijn vrije tijd graag marathons.

Laat een reactie achter

Je e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *.