Het is deze week maar weer eens pijnlijk duidelijk geworden hoe belangrijk het is om je WordPress website en de plugins die je gebruikt continu bij te werken naar de meest recente versie. Of gebruik te maken van thema’s en plugins die worden ondersteund door updates. Meer dan 2000 website werden gehackt in een nieuwe scam-actie, meldt de site Techzine.

Onderzoekers van Securi Inc. ontdekten deze week een hack die profiteert van kwetsbaarheden in verschillende plugins, waaronder Simple Fields en het CP Contract Form with Paypal. Hackers krijgen via deze plugins de mogelijkheid om het JavaScript aan te passen. Bezoekers van legitieme websites worden vervolgens ongemerkt doorgestuurd naar scamsites.

Het script maakt eveneens aanpassingen aan de bestaande bestanden van het WordPress thema. Hierdoor kan er ook aanvullende malware worden geïnstalleerd, waaronder PHP backdoors.

En een volgende ernstige kwetsbaarheid ligt al op de loer: Onderzoekers hebben een lek ontdekt in de Elementor Page Builder plugin. Details hiervan worden op 12 februari aanstaande gepubliceerd. Hiervoor is gekozen om eigenaren van websites de tijd te geven om de nodige updates toe te passen. Elementor versies lager dan 2.8.5 zijn kwetsbaar.

Het is van groot belang dat je altijd thema’s en plugins gebruikt die door regelmatige updates worden ondersteund. Check dus altijd wanneer een thema of een plugin voor het laatst is bijgewerkt. Geef prioriteit aan je eigen online beveiliging, maar geef vooral ook om de privacy van jouw klanten.