Op woensdag 15 juli werd er een update uitgerold voor de All in One SEO Pack plugin. Het gaat om een beveiligingsupdate met een patch voor een XSS-kwetsbaarheid die op 10 juli werd ontdekt door onderzoekers van Wordfence. Gebruikers van de plugin worden dan ook geadviseerd om zo snel mogelijk te updaten naar de meest recente versie. Op dit moment is dat versie 3.6.2.
XSS-kwetsbaarheid
Volgens Wordfence stelt de XSS-kwetsbaarheid in de plugin gebruikers met website-toegang op schrijver (contributor) niveau of hoger de mogelijkheid om kwaadaardige scripts te injecteren. Die scripts zouden geëxecuteerd kunnen worden als een slachtoffer via het WordPress admin dashboard naar de ‘Alle berichten’ pagina navigeert. De kwetsbaarheid in All in One SEO Pack werd door Wordfence gecategoriseerd als een “middelhoog beveiligingsrisico” en zou kunnen resulteren in een volledige overname van de website of andere ernstige consequenties.
Groot aantal websites nog steeds kwetsbaar
Volgens WordPress.org heeft All in One SEO Pack meer dan 2 miljoen actieve installaties. Momenteel draait slechts 12% van de gebruikers versie 3.6.x, waar de drie meest recente updates onder vallen. Dat betekent dat 88% van de plugin gebruikers nog steeds risico loopt. Dat komt neer op een aantal van 1.7 miljoen websites.
Automatische updates voor thema’s en plugins
Er zijn veel WordPress admins die niet vaak genoeg op hun websites inloggen om op de hoogte te blijven van beveiligingsupdates. Daarnaast verzaken plugin ontwikkelaars vaak om het belang van updates naar hun gebruikers te communiceren. Dit probleem zal beperkt worden bij de lancering van WordPress 5.5, dat gepland staat voor 11 augustus. Deze WordPress versie zal namelijk nieuwe opties op het dashboard introduceren, welke gebruikers in staat stellen om automatische thema en plugin updates in te stellen.