40.000 WP-sites aangetast XSS-kwetsbaarheid WP plugin

Logo cursus traing wordpress

40.000 WP-sites aangetast XSS-kwetsbaarheid WP plugin

WordPress-sites aangetast door XSS-kwetsbaarheid in plugin

(juni 2022)

Ongeveer 40.000 WordPress websites dreigen te worden overgenomen door een kwetsbaarheid in de Download Manager plug-in. Download Manager is een plug-in waarmee webmasters downloads van hun WordPress website kunnen bijhouden en beheren. Zo kan voor elke gebruiker het aantal downloads of de downloadsnelheid worden ingesteld.

Bovendien kan de plug-in worden gebruikt voor een webshop om digitale producten te verkopen.
Meer dan 100.000 WordPress sites gebruiken de Download Manager. Een onderdeel van de plug-in bevat een cross-site scripting (XSS) kwetsbaarheid veroorzaakt door inadequate afhandeling van gebruikersinvoer.

Door een gebruiker van de plug-in een frauduleuze link te openen, kan een aanvaller willekeurige code uitvoeren in de browser van het slachtoffer, meldt beveiligingsbedrijf Wordfence:

40.000 WordPress-sites aangetast door XSS-kwetsbaarheid in WordPress plugin

Gevoelige informatie of cookie-waarden stelen

Een aanvaller kan zo gevoelige informatie of cookie-waarden stelen en in het ergste geval beheerdersrechten krijgen of een achterdeur installeren. In het geval van de Download Manager zouden zowel de klantgegevens als de toegang tot de aangeboden digitale producten gevaar lopen.

Een aanvaller die er via de kwetsbaarheid in slaagt toegang te krijgen tot de sessiecookies van de beheerder, kan zo de instellingen voor het betalingsproces wijzigen en zelfs nepproducten toevoegen.

De kwetsbaarheid is aanwezig in versie 3.2.42 en ouder van de plug-in en zal worden verholpen met versie 3.2.43. Op het moment van schrijven hebben ongeveer zestigduizend van de honderdduizend WordPress websites met Download Manager de laatste versie geïnstalleerd, wat betekent dat ongeveer veertigduizend websites nog steeds gevaar lopen.

Handleidingen XSS bescherming

Meer handleidingen voor XSS bescherming en WordPress websites:

Onderhoud website is cruciaal

Het onderhoud van je WordPress website is dus heel belangrijk. We hadden een aantal websites in beheer waar de download manager gebruikt was. Gelukkig hadden we een firewall aanstaan en doen we wekelijks updates om de websites te beschermen. Lees hier meer over onderhoudscontracten:


Meer informatie over 40.000 WP-sites aangetast XSS-kwetsbaarheid WP pluginof info?

Wil je meer informatie? Veel web-designers met interesse in 40.000 WP-sites aangetast XSS-kwetsbaarheid WP plugin bekeken ook de onderstaande veel gelezen handleidingen:


WordPress training onderhoud

De meeste problemen met WordPress sites en webshops ontstaan door een combinatie van factoren. Van webhosting tot de inrichting van je site. Ik heb de laatste 15 jaar vele WordPress sites vast zien lopen, langzaam of gehackt zien worden door de verkeerde aanpak.

Deze problemen, ellende en schade is te vermijden door de juiste aanpak en strategie. Het is even werk en vergt een investering in tijd, geld en energie maar daarna heb je gegarandeerd minder problemen, meer plezier, meer controle en een betere WordPress website.

WordPress cursus onderhoud en beheer

Leer hoe je websites beter kan beheren en beveiligen in de speciale onderhoudscursus:
WordPress cursus Onderhoud en beheer

WordPress Bootcamp

Leer hoe je je WordPress site sneller en gestroomlijnder kan bouwen in de WordPress Bootcamp:
Web-development in WordPress Bootcamp

Nog vragen over 40.000 WP-sites aangetast XSS-kwetsbaarheid WP plugin?

Neem eventueel contact op met Arthur als je nog vragen hebt over onderhoud, beveiliging, 40.000 WP-sites aangetast XSS-kwetsbaarheid WP plugin en WordPress websites.

WordPress expert

Arthur Wentzel, web-developer

06 20 83 05 83

Scroll naar boven