OptinMonster 2.6.5: security update

OptinMonster 2.6.5: security update

Eind september ontdekte Wordfence onderzoeker Chloe Chamberland meerdere kwetsbaarheden in de OptinMonster plugin. Nadat het OptinMonster team door Wordfence op de hoogte was gebracht van de kwetsbaarheden, werd er op 7 oktober een security update met patches uitgerold: OptinMonster 2.6.5. 

OptinMonster 2.6.5

OptinMonster is een populaire WordPress plugin die op meer dan 1 miljoen sites wordt gebruikt voor het creëren van popups, nieuwsbrief opt-in formulieren, sticky bars en gamification in WordPress. De plugin zit goed in elkaar maar is wel sterk afhankelijk van WP REST API endpoints. Volgens Chamberland waren een aantal van deze endpoints op onveilige wijze geïmplementeerd. Hierdoor zou het in theorie voor iedereen mogelijk zijn om er toegang tot te krijgen. Dit soort kwetsbaarheden stellen niet-geautoriseerde aanvallers in staat om gevoelige informatie te exporteren en JavaScript te injecteren. Op die manier kunnen bezoekers naar externe malafide websites worden doorgestuurd. Er zou tevens een risico op volledige website overname bestaan.

Zo snel mogelijk updaten

Naast het uitrollen van de security update heeft het OptinMonster team aanvullende voorzorgsmaatregelen getroffen door alle API keys ongeldig te maken. Hierdoor zijn admin gebruikers gedwongen om nieuwe API keys te genereren, voor het geval er van de oude al misbruik is gemaakt. Er zijn op dit moment nog geen meldingen bekend over misbruik van de kwetsbaarheden. Maar omdat de kwetsbaarheden nu openbaar zijn gemaakt, krijgen gebruikers van de plugin die niet recentelijk geüpdatet hebben, het advies om onmiddellijk OptinMonster 2.6.5 te installeren.

Wil jij meer leren over Wordpress?

In de kennisbank vertellen we je alles over de belangrijkste onderwerpen

  • Snel en gemakkelijk contact met een WordPress expert
  • Ontvang als eerste nieuwtjes & leuke acties
  • Overleg met andere WordPress fans

Je WordPress vraag of probleem razendsnel opgelost met de hulp van een echte WordPress developer!

Join de grootste WordPress community van Nederland & stel je vraag via ons WordPress ticketsysteem.

Medaille-buddy

Blijf op de hoogte van het laatste WordPress nieuws.

Schrijf je in voor onze wekelijkse nieuwsbrief.