46664660 na@drweb.no
Vi har byttet navn tilFjordweb Solutions AS

Mange WordPress Plugins er sårbare for XSS på grunn av feil bruk av add_query_arg() og remove_query_arg() funksjonene i WordPress. Dette er populære funksjoner som brukes av utviklere til å modifisere og legge til URL query strings i WordPress.

I den offisielle WordPress dokumentasjonen (Codex) var det ikke beskrevet klart nok hvordan disse funksjonene skulle brukes korrekt. Dette har dessverre ført til at utviklere har brukt funksjonene på en feil og usikker måte. En enkel feil som rammer veldig veldig mange plugins.

Her er en liste over noen plugins som er rammet:

  • Jetpack
  • WordPress SEO
  • Google Analytics by Yoast
  • All In one SEO
  • Gravity Forms
  • Flere plugins fra Easy Digital Downloads
  • UpdraftPlus
  • WP-E-Commerce
  • WPTouch
  • Download Monitor
  • Related Posts for WordPress
  • My Calendar
  • P3 Profiler
  • Give
  • Flere iThemes plugins inkludert Builder og Exchange.
  • Broken-Link-Checker
  • Ninja Forms

Vi anbefaler at du oppdaterer WordPress og alle dine WordPress plugins fortest mulig da sannsynligheten for at du har en av disse installert er relativt stor. Alle på denne listen har kommet ut med oppdateringer som retter opp i feilen.

Kun 300-400 plugins sjekket for sårbarheten

Det er nok flere plugins som ikke er på denne listen som også er sårbare da det kun er de top 300-400 mest populære plugins som er sjekket. Er du en utvikler av WordPress plugins bør du sjekke hvordan du bruker disse funksjonene:

add_query_arg
remove_query_arg

Ved bruk av disse må du være sikker på at du bruker en escape funksjon som esc_url() (or esc_url_raw()). Du kan IKKE ta forgitt at add_query_arg og remove_query_arg vil utføre escape funksjonen. WordPress kommer nå ut med bedre retningslinjer for hvordan man skal bruke dette her.

Her er noen tips på hvordan du kan redusere risikoen og sikre dine sider:

  1. Oppdateringer. Alltid hold dine sider oppdatert!
  2. Begrenset tilgang. Gi kun de som trenger det administrator rettigheter. Begrens tilgangen til wp-admin slik at det er kun IP adresser som er hvitlistet som kan logge seg på. Ikke logg inn med admin konto hvis du ikke skal gjøre noe som trenger admin rettigheter.
  3. Overvåking. Overvåk dine sikkerhetslogger. De kan fortelle deg litt om hva du bør gjøre for å bedre sikkerheten.
  4. Minst mulig plugins. Bruk kun plugins og temaer du virkelig trenger for at siden din skal virke optimalt.
  5. Kontrollsjekk. Det er ikke alltid at forebygging er nok. Da kan du bruke Securis Sitecheck til å dobbeltsjekke.
  6. Backup. Ta alltid backup av dine hjemmesider! Hvis du blir hacket kan en backup spare deg for mye tid og penger!

Dette er noen sikkerhetstips som kan bedre sikkerheten på dine sider betraktelig. DrWeb har egne serviceavtaler som tar seg av det meste av dette.

Er du kunde av DrWeb med Serviceavtale har vi selvfølgelig oppdatert allerede.