Revolution Slider Beveiligings probleem oplossen zonder update

Zoals je waarschijnlijk wel hebt vernomen, is er een ernstig beveiligingslek geconstateerd in de veelgebruikte WordPress Plugin Revolution Slider. De slider plugin wordt met veel moderne wordpress themes standaard meegeleverd, en biedt zeer uitgebreide slider mogelijkheden.

De recent ontdekte beveiligingslek maakt het mogelijk om de wp-config.php te downloaden van elke site waar de slider op geïnstalleerd is. In de wp-config.php bevinden zich veel belangrijke gegevens, zoals het adres en het wachtwoord van jouw database. Als iemand in jouw database kan komen, dan kan hij gemakkelijk je complete website overnemen en misbruiken voor duistere doeleinden, zoals spammen, ddos attacks of fishing.

Het advies? Updaten naar de laatste versie. Helaas is die optie er vaak niet, omdat de plugin die met jouw theme is meegeleverd geen Update knop bevat.

Wat nu?

Blokkeer de boosdoener via de .htaccess file van je website

Hoe doe je dat?

1. FTP naar de root van je website

2. download de .htaccess

3. Open de .htaccess met notepad en voeg de volgende regel toe tussen <IfModule mod_rewrite.c> en </IfModule>, net onder de regel RewriteBase /

RewriteCond %{QUERY_STRING} ^action=revslider_show_image&img=[^&]*$ [NC]
RewriteRule ^wp-admin/admin-ajax\.php$ idiot.jpg

4. Sla op, en upload weer naar de root van je site via ftp

5. Upload deze file naar de root van je site via ftp