Automattic, het bedrijf achter WordPress en diverse WordPress plugins, heeft een Jetpack security update geforceerd. De update is automatisch geïnstalleerd op de meer dan 5 miljoen WordPress sites die gebruik maken van de Jetpack plugin. Dit werd gedaan vanwege een kwetsbaarheid in de plugin, die als dusdanig ernstig beschouwd werd dat een ‘normale’ update (waarbij gebruikers zelf bepalen of en wanneer ze deze installeren) te veel risico’s zou creëren.
Geen misbruik van kwetsbaarheid geconstateerd
De kwetsbaarheid in de Jetpack plugin betrof een bug in de Carousel feature. Er werd niet gespecificeerd om wat voor bug het precies ging en wat de risico’s voor Jetpack gebruikers waren. Wel werd duidelijk gemaakt dat de kwetsbaarheid alle Jetpack versies sinds Jetpack 2.0 beïnvloedde. Het Jetpack team schreef in een verklaring vooralsnog geen signalen van misbruik te hebben geconstateerd. “Maar nu de update is uitgerold is het slechts een kwestie van tijd voordat iemand probeert om misbruik te maken van deze kwetsbaarheid,” waarschuwden de ontwikkelaars. Inmiddels moet de security update bij vrijwel alle Jetpack gebruikers zijn doorgevoerd.
Geforceerde security updates
Het kwam in het verleden niet heel vaak voor dat security updates automatisch werden geïnstalleerd om kwetsbare plugins te patchen. In 2015 stelde WordPress ontwikkelaar Andrew Nacin dat Automattic dit sinds de lancering van WordPress in 2003 pas vijf keer had hoeven doen. Maar de laatste jaren komt het steeds vaker voor dat Automatic gebruik maakt van geforceerde security updates. Dat zal deels komen door het feit dat het marktaandeel van WordPress steeds groter wordt, waardoor het voor hackers aantrekkelijker wordt om zich op kwetsbaarheden in WordPress websites te richten. Des te meer reden dus om te zorgen dat je website zo goed mogelijk beveiligd is.
Mocht je behoefte hebben aan hulp op het gebied van WordPress beveiliging, dan kun je ons WordPress Beveiliging abonnement overwegen.
