Bekijk ook eens een van de onderstaande artikelen
30-04-2025Wat doet WordPress eigenlijk?
Als je ooit hebt overwogen een website te maken ben je ongetwijfeld de naam03-05-2025Updates aan XML sitemap data slim inzetten
Een XML sitemap is voor velen iets waar niet over nagedacht over hoeft te14-05-2025WordPress thema TheGem kwetsbaarheid
82000 WordPress websites die gebruikmaken van het thema TheGem zijn vatbaar14-05-2025WordPress thema TheGem kwetsbaarheid
82000 WordPress websites die gebruikmaken van het thema TheGem zijn vatbaar voor een Arbitrary File Upload Vulnerability of Kwetsbaarheid voor willekeurige bestandsupload. En het is dringend om als je van dit Thema gebruikmaakt dit direct te updaten naar de laatste versie om dit lek te dichten. Laten we in deze blog post een kijkje nemen wat de kwetsbaarheid precies was, en het belang van niet alleen de keuze van een thema van je WordPress website, maar ook het tijdig bijwerken hiervan.
Arbitrary File Upload Vulnerability
Deze kwetsbaarheid maakt het mogelijk voor geauthentiseerde aanvallers met minimaal 'abonnee'-rechten om willekeurige bestanden te uploaden naar een kwetsbare website. Hierdoor kunnen zij op afstand kwaadaardige code uitvoeren, wat in veel gevallen leidt tot volledige overname van de site. Met alle rampen van dien, websites die dus gebruikmaken van dit thema lopen dus het risico om de volledige website over te zien genomen worden. Met alle rampzalige gevolgen van dien.
Melding en beveilingspatch
Het lek werd eerst ontdekt door een gebruiker genaamd Foxyyy, in het WordFence bounty programma, en kreeg hiervoor een “bug bounty” van 1405 dollar. Dit is een programma van de populaire beveiligingsplugin WordFence, waarin white hat hackers en pen testers op een veilige en vertrouwde wijze lekken kunnen doorgeven aan niet alleen WordFence, maar waar ook gelijk geschakeld wordt naar de originele makers van de plug-in of thema in dit geval. Hierdoor kunnen lekken veilig gedicht worden en wordt er een kans gegeven aan de makers om hier passend op te reageren. In dit geval is er na drie dagen gelijk een beveiligingspatch voor uitgebracht door de makers van het thema wat het lek dicht, en wat gebruikers direct kunnen installeren om hier tegen gewapend zijn.
Beveiligingspatches zijn een essentieel onderdeel van het veilig houden van je WordPress website, en helaas is het vaak het geval dat dit elk thema, plug-in, en zelfs de core van WordPress, wel kan overkomen. Een passende en snelle reactie is hierin hetgeen wat belangrijk is. Uiteraard dienen er wel vraagtekens te worden gesteld bij de makers als dit vaak voorkomt, en kan dit wijzen naar grotere technische problemen in de opbouw hiervan.
TheGem, versie 5.10.3.1 uitgebracht op 7 mei dient direct geïnstalleerd te worden indien je gebruikmaakt van het thema TheGem. Dit is namelijk de versie met de beveiligingspatch hierin verwerkt.
Wil je het volledige technische rapport doorlezen? Neem dan een kijkje op de melding van WordFence over dit voorgeval:
Belang van altijd up to date blijven
Elke website dient bijgewerkt te blijven om te garanderen dat deze werkend, veilig, en snel blijft voor niet alleen jezelf maar ook voor je bezoekers aan de website. Het is dus niet het geval dat werk aan een website na een zekere periode klaar is, en dat hier niet meer naar omgekeken dient te worden. Een website onderhouden en draaien is een blijvende bezigheid, en dien je regelmatig voor jezelf in te plannen om waar nodig bij te werken.
Voor veel gebruikers raden we hier minimaal 1 keer per maand aan om dit voor jezelf in te plannen en door te voeren. Waar je ook in de deze werkzaamheden een volledige backup maakt van je WordPress website. Indien de inhoud van je website frequent wijzigt, of hier bijvoorbeeld veel bestellingen via WooCommerce uitgevoerd worden. Dan is dit al gauw aangeraden om dit minimaal naar 1 keer in de week in te plannen.
Wanneer je liever hier geen onderhoud aan wilt hebben dan is de beste keuze hiervoor om een Managed WordPress Hosting pakket voor af te nemen. Met deze pakketten nemen wij het onderhoud van je WordPress website voor je uit handen. En kan jij de focus leggen op wat telt voor jouw online visie. Of dit nu het concerteren is op het schrijven van interessante blogs voor je lezers, het verkopen van producten binnen WooCommerce, of het draaien van je bedrijvenwebsite. Zo houdt jij meer tijd over voor de werkzaamheden die je verder helpen om te groeien.
Indien je dit zelf in de hand wilt houden dan is het dus aan te raden om hier een vast agenda item voor aan te maken, zodat je dit ook niet laat slippen of vergeet op termijn. Zo houdt je jouw WordPress Website veilig.
Wil jij ook de beste fundering voor jouw volgende WordPress pakket? Neem dan nu een kijkje naar onze WordPress hosting pakketten bij MijnWordPressPartner.nl!