Beveiligingsupdate: WordPress 4.7.1

WordPress 4.7 is al meer dan 10 miljoen keer gedownload sinds de release op 6 december 2016. We zijn dan ook blij om aan te kondigen dat WordPress 4.7.1 per direct beschikbaar is. Dit is een beveiligingsupdate voor alle vorige versies en we raden je aan om je sites zo snel mogelijk bij te werken.

WordPress versies 4.7 en eerdere versies zijn getroffen door acht beveiligingsproblemen:

1. Remote code execution (RCE) in PHPMailer – Uit onderzoek is gebleken dat het geen specifiek probleem is dat WordPress of de belangrijkste plugins lijkt te beïnvloeden. Voor de zekerheid is PHP Mailer bijgewerkt in deze update.
2. De REST API liet gebruikersgegevens zien aan alle gebruikers die een bericht van een openbaar bericht type hadden geplaatst. WordPress 4.7.1 beperkt dit tot bericht types waarin is aangegeven dat deze moeten worden getoond in de REST API.
3. Cross-site scripting (XSS) via de naam van de plugin of version header on update-core.php.
4. Cross-site request forgery (CSRF) bypass door het uploaden van een Flash-bestand.
5. Cross-site scripting (XSS) via theme name fallback.
6. Berichten plaatsen via e-mail wordt gecontroleerd door mail.example.com wanneer de standaard instellingen niet zijn gewijzigd.
7. Er werd een cross-site request forgery (CSRF) ontdekt in de accessibility modus van het wijzigen van widgets.
8. Een zwakke cryptografische beveiliging van de multisite activatie sleutel.

Als aanvulling op bovengenoemde beveiligingsproblemen heeft WordPress 4.7.1 van de 4.7 versie 62 bugs opgelost. Bekijk voor meer informatie de release notes of raadpleeg de lijst met veranderingen.

Besteed je het onderhoud van je WordPress site liever uit? We helpen je graag met onze WordPress Onderhoud pakketten. Neem vandaag nog contact met ons op!