Security update voor WP Fastest Cache plugin

WP Fastest Cache plugin

Tijdens een interne audit van WP Fastest Cache ontdekten onderzoekers van Jetpack dat de plugin twee kwetsbaarheden bevatte. Inmiddels is er een update met patches uitgerold. Gebruikers van de WP Fastest Cache plugin krijgen dan ook het dringende advies zo snel mogelijk te updaten.

Verder lezen

Wordfence en WPScan publiceren tussentijds WordPress Security Rapport

WordPress Security Rapport

Wordfence en WPScan hebben gezamenlijk een tussentijds WordPress Security Rapport gepubliceerd, dat inzicht biedt in de plugin kwetsbaarheden en aanvallen waar WordPress websites in de eerste helft van 2021 mee geconfronteerd zijn. Hieronder lichten we de belangrijkste bevindingen uit het rapport toe.

Verder lezen

Het WordPress versienummer verwijderen

WordPress versienummer verwijderen

Naast het installeren van een dedicated WordPress security plugin, zijn er nog tal van kleine dingen die je kunt doen om je WordPress website veiliger te maken. Zo kun je bijvoorbeeld beveiligingsvragen toevoegen aan je WordPress login scherm, de WordPress login pagina verplaatsen of verbergen en IP-restricties instellen voor de WordPress inlogpagina. Daarnaast moet je zorgen dat je de 10 meest gemaakte wachtwoord fouten in WordPress weet te voorkomen! Een aanvullende tip om het risico op online aanvallen te reduceren is door het WordPress versienummer verwijderen uit de broncode van je website.

Verder lezen

Dit moet je weten over Cross-Site Scripting aanvallen in WordPress

Cross-Site Scripting aanvallen

Meer dan 40% van alle websites op het World Wide Web draait op WordPress. Dat komt neer op meer dan 28 miljoen live sites. En hoewel het fantastisch is om deel uit te maken van zo’n grote, toegewijde en actieve gemeenschap, maakt de populariteit van WordPress het ook een doelwit voor Cross-Site Scripting (XSS) aanvallen. Maar het feit dat hackers zich vaak op WordPress richten, hoeft niet te betekenen dat al hun aanvallen ook daadwerkelijk succesvol zijn. Met de juiste voorzorgsmaatregelen, tools en technieken kun je je WordPress site goed beschermen tegen XSS aanvallen. Om dat te kunnen doen is het wel goed om te weten wat Cross-Site Scripting nu eigenlijk is en waarom Cross-Site Scripting aanvallen in WordPress de laatste tijd zo vaak voorkomen.

Verder lezen

Automattic forceert Jetpack security update op 5+ miljoen sites

Jetpack security update

Automattic, het bedrijf achter WordPress en diverse WordPress plugins, heeft een Jetpack security update geforceerd. De update is automatisch geïnstalleerd op de meer dan 5 miljoen WordPress sites die gebruik maken van de Jetpack plugin. Dit werd gedaan vanwege een kwetsbaarheid in de plugin, die als dusdanig ernstig beschouwd werd dat een ‘normale’ update (waarbij gebruikers zelf bepalen of en wanneer ze deze installeren) te veel risico’s zou creëren.

Verder lezen

96% van WordPress kwetsbaarheden in 2020 afkomstig van extensies van derden

WordPress kwetsbaarheden in 2020

Patchstack (voorheen WebARX) heeft vorige week haar WordPress Security 2020 whitepaper gepubliceerd. Daarin staat dat in 2020 een totaal van 582 WordPress kwetsbaarheden werden geïdentificeerd. Echter waren slechts 22 van de veiligheidsproblemen afkomstig van WordPress zelf. De overige 560 problemen werden veroorzaakt door plugins en thema’s van derden. 

Verder lezen

De beste wachtwoord managers voor WordPress gebruikers

wachtwoord managers voor WordPress

Vorige week schreven we al over de 10 meest gemaakte wachtwoord fouten in WordPress. Als er één ding is dat je daaruit kunt concluderen, is het dat je gewoon geen wachtwoorden moet gebruiken die je kunt onthouden. Een wachtwoord manager is dus zeker geen overbodige luxe! In dit artikel bespreken we 3 van de beste wachtwoord managers voor WordPress gebruikers. 

3 wachtwoord managers voor WordPress gebruikers

#1. LastPass

LastPass is beschikbaar voor Windows, Mac, Linux, iPad, iPhone, Android, Windows Phone en Blackberry apparaten. Dat betekent dat het niet uitmaakt welke apparaten je gebruikt – je kunt gemakkelijk je wachtwoorden synchroniseren en hebt ze altijd tot je beschikking. Het enige dat je nog hoeft te onthouden is je ‘master password’, dat toegang geeft tot je LastPass wachtwoordenkluis. De gratis versie van deze wachtwoord manager biedt alle features die je nodig hebt. Maar voor slechts $3 per maand kun je upgraden naar de premium versie, die toegang biedt tot geavanceerde 2FA opties en mogelijkheden om een wachtwoord op een veilige manier te delen, mocht dat nodig zijn.

Meer info

#2. 1Password

Ook 1Password is een van de betere wachtwoord managers voor WordPress gebruikers, met name voor degenen die met Apple werken. De app heeft geen gratis versie; je bent $2,99 per maand kwijt voor een abonnement. Maar je kunt 1Password wel 14 dagen gratis uitproberen om te kijken of het bevalt. In tegenstelling tot LastPass biedt 1Password nog geen 2FA, maar de kans is groot dat dit in een toekomstige update nog wel wordt toegevoegd.

Meer info

#3. Dashlane

Net als de andere wachtwoord managers voor WordPress gebruikers in deze lijst, is Dashlane beschikbaar voor alle platformen. De gratis versie werkt in principe prima, het is alleen wel jammer dat je daarmee niet automatisch wachtwoorden op al je apparaten kunt synchroniseren. Dat kan wel met het premium abonnement, dat beschikbaar is voor $59,99 per jaar. Naast wachtwoord synchronisatie profiteer je hiermee ook van onbeperkte backups en een onbeperkt aantal apparaten. 

Meer info

WordPress wil Google FLoC blokkeren

Google FLoC

Een paar weken geleden kondigde Google aan dat ondersteuning voor cookies van derden in Chrome zou worden uitgeschakeld; de meeste andere browsers hebben dat inmiddels al gedaan. Het uitschakelen van die cookies verandert natuurlijk de manier waarop bedrijven (inclusief Google zelf) internetgebruikers tracken. Goed nieuws, zou je denken. Als cookies van derden niet meer ondersteund worden, heb je als internetgebruiker immers meer privacy, toch? Ja, maar Google wil die cookies van derden gaan vervangen door een alternatief: Google’s Federated Learning of Cohorts, oftewel FLoC. FLoC krijgt echter heel veel kritiek. Ook WordPress overweegt om Google FloC te gaan blokkeren, zodra deze feature in Chrome beschikbaar komt.

Verder lezen

De 10 meest gemaakte wachtwoord fouten in WordPress

wachtwoord fouten

Vorig jaar schreven we al over 10 veelgemaakte WordPress security fouten. Drie van die fouten waren gerelateerd aan wachtwoorden. Maar volgens onderzoek van Wordfence gaan WordPress gebruikers wel vaker de mist in als het aankomt op de wachtwoorden die ze gebruiken. Om te voorkomen dat jouw WordPress site gecompromitteerd wordt als gevolg van slechte wachtwoorden, hebben we de 10 meest gemaakte wachtwoord fouten in WordPress op een rijtje gezet.

Verder lezen

Kwetsbaarheid in de Plus Addons for Elementor plugin misbruikt

Plus Addons for Elementor

Op 8 maart werd er een kritische zero-day kwetsbaarheid gerapporteerd in de Plus Addons for Elementor plugin. De plugin ontwikkelaars rolden op 9 maart een gedeeltelijk gepatchete versie uit (versie 4.1.6). Dezelfde dag nog verscheen er een tweede update (versie 4.1.7) om de overige problemen op te lossen. Wordfence meldt echter dat ze nog steeds pogingen van misbruik aan het blokkeren zijn bij websites die nog niet naar de meest recente versie van de plugin geüpdatet hebben. Alleen al in de afgelopen week hebben ze zo’n 4.000 pogingen tot site overname geblokkeerd. 

Verder lezen

Lek in NextGen Gallery plugin: nog duizenden WordPress sites kwetsbaar

Lek in NextGen Gallery plugin

Duizenden WordPress sites zijn kwetsbaar vanwege een kritieke kwetsbaarheid in de NextGen Gallery plugin. Deze populaire WordPress plugin, die meer dan 800.000 actieve installaties heeft, is ontwikkeld voor het bouwen van aantrekkelijke, responsive fotogalerijen. Hoewel de ontwikkelaar al een tijdje geleden een update uitbracht, is er een groot aantal gebruikers die de update nog niet geïnstalleerd heeft. Duizenden WordPress sites lopen dus nog steeds risico.

Verder lezen

Waarom Two-Factor Authentication (2FA)?

Two-Factor Authentication (2FA)

Naarmate we steeds meer dingen op onze mobiele apparaten en laptops doen, is het niet zo verwonderlijk dat onze digitale accounts een grote aantrekkingskracht hebben op criminelen. Overheden en grote bedrijven maar ook kleine ondernemers en individuen zijn regelmatig het slachtoffer van hackers. Het is dan ook belangrijk dat je er alles aan doet om je website te beveiligen. In dit artikel gaan we het hebben over een manier om een extra beveiligingslaag aan je WordPress gebruikersaccounts toe te voegen door middel van Two-Factor Authentication (2FA).

Verder lezen

Kwetsbaarheden in Ultimate Member plugin

Ultimate Member plugin

Eind oktober ontdekte het Threat Intelligence team van Wordfence meerdere kwetsbaarheden in de Ultimate Member plugin. Deze kwetsbaarheden maken het mogelijk voor een aanvaller om admin rechten te verkrijgen, waardoor ze dus in principe de volledige website kunnen overnemen. De ontwikkelaar heeft inmiddels een update met patch uitgerold.

Verder lezen

WooCommerce 4.6.2 is nu beschikbaar (security update!)

WooCommerce 4.6.2

Afgelopen week werd WooCommerce 4.6.2 uitgerold. Het betreft een security update met een patch voor een kwetsbaarheid die mensen in staat stelde om een account aan te maken tijdens het checkout proces, zelfs wanneer deze instelling was uitgeschakeld. Het WooCommerce team ontdekte de kwetsbaarheid nadat tientallen gebruikers meldingen maakten over spam orders of bestellingen met valse betaalgegevens. Toen bleek dat hun webwinkels werden aangevallen door een bot.

Verder lezen

Veiligheidsupdate Discount Rules for WooCommerce

Discount Rules for WooCommerce

Op 20 augustus werden er meerdere kwetsbaarheden aangetroffen in de Discount Rules for WooCommerce plugin, die op meer dan 40.000 WordPress websites geïnstalleerd is. Inmiddels is er een update met patch uitgerold. Gebruikers die de plugin nog niet geüpdatet hebben worden dan ook geadviseerd om dit zo snel mogelijk te doen.

Verder lezen

Zero-day lek in File Manager plugin

file manager plugin

Op 1 september werd er een zero-day lek aangetroffen in de File Manager plugin. Dezelfde dag werd er nog een update met patch uitgerold. Echter heeft het Threat Intelligence Team van Wordfence geconstateerd dat er actief misbruik wordt gemaakt van het lek op de sites die nog niet geüpdatet hebben naar de meest recente versie.

Verder lezen

Kwetsbaarheden in Quiz and Survey Master plugin

Quiz and Survey Master plugin

Maak jij toevallig gebruik van de Quiz and Survey Master plugin op je WordPress site? Dan is het aan te raden om te controleren of je deze plugin recentelijk nog geüpdatet hebt. Er zijn namelijk twee kritieke kwetsbaarheden in de plugin aangetroffen, welke er in het ergste geval voor zouden kunnen zorgen dat aanvallers toegang kunnen krijgen tot alle websites die op de betreffende server gehost worden.

Verder lezen

Verborgen feature in WordPress 5.5 blokkeert malafide plugins

verborgen feature

WordPress 5.5 “Eckstine”, dat vorige week gelanceerd werd, bevat een verborgen feature die voorkomt dat websites door malafide plugins kunnen worden overgenomen. De feature maakt het mogelijk om te controleren of een plugin legitiem is. Is dat het niet geval, dan worden updates geblokkeerd.

Verder lezen