W3 Total Cache vulnerability is vandaag volop in het nieuws:
High Risk XSS Vulnerability Discovered in W3 Total Cache Plugin
High Risk XSS Vulnerability Discovered in W3 Total Cache Plugin
Het lek maakt een XSS mogelijk op de support pagina van W3 Total Cache, waarbij stukken code geïnjecteerd kunnen worden.
Omdat er geen officiële update is van de makers is het advies: uitschakelen!
Of .. pas een patch toe als u weet hoe dat moet.
Alle klanten van Klarned.nl zijn veilig!
- We hebben een standaard 2 factor login voor iedereen met het hoogste inlog-niveau (administrator level)
- We hebben de hele support pagina uit voorzorg uitgezet, iedereen die de pagina wil bezoeken wordt tegengehouden en ziet:
Geen klant van ons? Wat moet u nu doen om uw site veilig te krijgen?
En .. wat als u caching echt nodig hebt? Of als u geen tijd hebt om nu ineens over te stappen op:
- WP fastest cache
- WP super cache
- Batcache
- (en vele anderen)
Kies dan voor deze gratis plugin die we gemaakt hebben. Die schakelt de hele support pagina uit, zonder dat u wat in hoeft te stellen. Dat geeft u ten eerste veiligheid, en ten tweede tijd om naar ons over te stappen of voor een andere caching plugin te kiezen.
Reacties
We hebben overigens gekozen om de hele support pagina van W3 Total Cache dicht te zetten, in plaats van een oplossing waarbij de verantwoordelijke “user input” onveilige $_GET waarden overschreven werden met htmlspecialchars() of intval() versies om de XSS tegen te gaan.
Dit hebben we gedaan, omdat de W3TC support pagina zelden gebruikt wordt, er meerdere manieren zijn om support voor W3TC te krijgen en .. omdat wij graag een update vanuit W3Edge tegemoet zien. Met name het laatste is voor veel WordPress gebruikers een doorn in het oog. De software doet precies wat hij zegt te kunnen, al moet je vaak wel geduld hebben om voor jouw site de juiste configuratie te bereiken. Maar PHP 7 support is met de laatste versie ook slecht waardoor je error log lekker gevuld wordt .. om maar wat te noemen. Echt de hoogste tijd voor een update dus.
Gelukkig is er een nieuwe versie uitgekomen, sneller dan verwacht. Deze nieuwe versie 0.9.5 zegt “een XSS” lek te fixen, eindelijk PHP 7 support en memcached beter te krijgen. Wij willen de nieuwe versie even afwachten, er zit HEEL veel in, dus niet alleen een paar fixes.