W3 Total Cache nu onveilig

W3 Total Cache
Miljoenen WordPress sites (waaronder ook sites van onze klanten) maken gebruik van de caching plugin W3 Total Cache, vaak afgekort als W3TC. Nu is al een tijdje bekend dat de plugin niet meer actief wordt onderhouden, ondanks dat de eigenaar dat nooit expliciet heeft gezegd. Zo mist bijvoorbeeld ondersteuning voor PHP 7 terwijl dat heel simpel te realiseren is. Dat is allemaal niet best maar nu is er een XSS kwetsbaarheid in de plugin gevonden waardoor W3 Total Cache niet meer veilig is.

Deze XSS kwetsbaarheid maakt het mogelijk om de content of look van de website aan te passen door een opdracht te plaatsen in een invulveld in het support formulier binnen de plugin. Gelukkig werkt deze exploit alleen als dit door een gebruiker met administrator rechten wordt gedaan.

Er worden vaker XSS kwetsbaarheden in plugins gevonden, maar deze worden normaal gesproken gepatcht door de makers voordat publiek bekend is gemaakt hoe deze kwetsbaarheden misbruikt kunnen worden. Dat is ook de reden waarom we niet voor elke kwetsbaarheid een blogpost schrijven. In dit geval is het echter anders, zeker omdat de plugin een van de meest populaire ter wereld is. We hopen dat de makers snel met een fix komen, maar gezien het recente verleden is dat niet te verwachten.

Toevallig hebben we onlangs W3 Total Cache met enkele alternatieven getest. Mocht je nog een caching-plugin willen inzetten dan zijn er nu twee serieuze opties:

  1. WP Rocket
    Voor Savvii klanten via de Savvii Deals goedkoper aan te schaffen. Daarnaast hebben we goede contacten met de makers. Lees ook onze blog over het goed instellen van WP Rocket.
  2. WP Super Cache
    Deze plugin wordt beheerd door automattic, het grote bedrijf achter WordPress.

Daarnaast kun je ook gewoon alleen gebruik maken van de Varnish caching van Savvii.

Wij zeggen altijd dat updaten een van de belangrijkste dingen is in het waarborgen van de veiligheid van je site, maar dat is nu geen optie. Doe het wel voor core en je andere plugins!

Update 1 – 26-9-2016:

Gelukkig heeft W3 Total Cache alsnog een update uitgebracht. Versie 0.9.5 lost de XSS kwetsbaarheid op. Daarnaast geeft W3TC aan de o.a. PHP 7 compatibiliteit verbeterd te hebben, we hebben dit zelf echter nog niet kunnen testen. We houden jullie op de hoogte. Zorg er in elk geval voor dat je zo snel mogelijk versie 0.9.5 installeert of W3TC verwijdert uit je websites.

Update 2 – 26-9-2016:

Er is heel veel veranderd aan de W3 Total Cache plugin. Dit leidt in vele gevallen tot problemen bij het updaten. Wij raden je aan de update bijv. eerst lokaal of op een test-site uit te voeren voordat je dit op je live site(s) toepast. Uiteraard blijft het nog steeds een goede optie om over te stappen op een andere caching plugin.

Tweet about this on TwitterShare on LinkedInShare on Facebook

Reageer

(wordt niet getoond)(wordt niet getoond)
(wordt niet getoond)
* verplichte velden

Terug naar overzicht

Wij werken met:

  • rackspace_savvii
  • New Relic
  • nginx_savvii
  • Varnish
  • Mandrill
  • Freshdesk