Eind december 2016 blijkt er in de open source PHPMailer-bouwblok software die WordPress gebruikt een lek te zitten. Op WordPress zelf is het een critical external-library melding: https://core.trac.wordpress.org/ticket/37210

Door het lek https://threatpost.com/phpmailer-bug-leaves-millions-of-websites-open-to-attack/122775/ is het mogelijk om code uit te voeren op de webserver waar PHPMailer draait. PHPMailer is een veelgebruikt software bouwblok om te kunnen mailen vanaf een website. Denk bijvoorbeeld aan een melding vanaf uw website als iemand uw contactformulier invult. PHPMailer is niet alleen bij WordPress in gebruik, maar ook bij bijvoorbeeld Drupal CMS ( https://www.drupal.org/psa-2016-004 ).

Hoewel de PHPMailer software geupdate is, is deze nog niet in de stabiele 4.7 versie van WordPress opgenomen. Dat is de huidige laatste versie die u kunt downloaden en installeren. De laatste code zit al wel in de ontwikkelversie van WordPress.

Omdat Klarned veiligheid hoog in het vaandel heeft, hebben wij (na getest te hebben of mailtjes nog gewoon verstuurd worden) de laatste versie op alle WordPress installaties geïnstalleerd. Het lek is daarmee voor nu gedicht en het is wachten op de officiële release van WordPress 4.7.1. We verwachten dat dit niet lang zal duren.