Die Sicherheitslücke bei W3 Total Cache ist heute in aller Munde: High Risk XSS Vulnerability Discovered in W3 Total Cache Plugin https://wptavern.com/high-risk-xss-vulnerability-discovered-in-w3-total-cache-plugin Das Leck ermöglicht ein XSS auf der Support-Seite von W3 Total Cache, wodurch Code-Stücke eingeschleust werden können.Da es kein offizielles Update von den Entwicklern gibt, lautet der Rat: Deaktivieren Sie es!Oder . Wenden Sie einen Patch an, wenn Sie wissen, wie man das macht.
Alle Kunden von Klarned.co.uk sind sicher!
- Wir haben ein standardmäßiges 2-Faktor-Login für alle mit dem höchsten Login-Level (Administrator-Level)
- Wir haben die gesamte Support-Seite als Vorsichtsmaßnahme deaktiviert, jeder, der die Seite besuchen will, wird gestoppt und sieht:
Sie sind kein Kunde von uns? Was sollten Sie jetzt tun, um Ihre Website sicher zu machen?
Und … was, wenn Sie Caching wirklich brauchen? Oder wenn Sie keine Zeit haben, plötzlich auf jetzt umzustellen:
- WP fastest cache
- WP super cache
- Batcache
- (und viele andere)
Dann entscheiden Sie sich für dieses kostenlose Plugin, das wir erstellt haben. Das deaktiviert die gesamte Support-Seite, ohne dass Sie etwas einstellen müssen. Das gibt Ihnen erstens Sicherheit und zweitens Zeit, zu uns zu wechseln oder ein anderes Caching-Plugin zu wählen.
Kommentare
We hebben overigens gekozen om de hele support pagina van W3 Total Cache dicht te zetten, in plaats van een oplossing waarbij de verantwoordelijke „user input“ onveilige $_GET waarden overschreven werden met htmlspecialchars() of intval() versies om de XSS tegen te gaan.
Dit hebben we gedaan, omdat de W3TC support pagina zelden gebruikt wordt, er meerdere manieren zijn om support voor W3TC te krijgen en .. omdat wij graag een update vanuit W3Edge tegemoet zien. Met name het laatste is voor veel WordPress gebruikers een doorn in het oog. De software doet precies wat hij zegt te kunnen, al moet je vaak wel geduld hebben om voor jouw site de juiste configuratie te bereiken. Maar PHP 7 support is met de laatste versie ook slecht waardoor je error log lekker gevuld wordt .. om maar wat te noemen. Echt de hoogste tijd voor een update dus.
Gelukkig is er een nieuwe versie uitgekomen, sneller dan verwacht. Deze nieuwe versie 0.9.5 zegt „een XSS“ lek te fixen, eindelijk PHP 7 support en memcached beter te krijgen. Wij willen de nieuwe versie even afwachten, er zit HEEL veel in, dus niet alleen een paar fixes.