WordPress heeft in september een ernstig beveiligingslek in de updateserver gedicht waardoor miljoenen WordPress-websites konden worden gehackt. Ongeveer 26% van alle websites op internet draait op WordPress, dat daarmee het populairste online contentmanagementsysteem is.
De server (of servers) api.wordpress.org speelt een belangrijke rol in het WordPress-ecosysteem, aangezien deze server automatisch updates naar WordPress-websites stuurt. Elke WordPress-installatie maakt elk uur verbinding met deze server om te kijken of er updates voor plug-ins, themes en de WordPress-installatie zelf beschikbaar zijn. Het antwoord van de server bevat informatie over nieuwere versies die mogelijk beschikbaar zijn, waaronder of de plug-in, theme en installatie automatisch moeten worden geüpdatet. Ook bevat het een url om de update te downloaden en installeren.
Door deze server te hacken zou een aanvaller zijn eigen link kunnen opgeven om zo een kwaadaardige update te verspreiden. Dit is mogelijk omdat WordPress de digitale handtekeningen van software-updates niet controleert. Een probleem dat deze week ook door een beveiligingsonderzoeker aan de kaak werd gesteld. Voordat een dergelijke aanval kan worden uitgevoerd moet een aanvaller echter eerst de server api.wordpress.org zien over te nemen. Onderzoekers van beveiligingsbedrijf Wordfence ontdekten eerder dit jaar een kwetsbaarheid waardoor dit mogelijk was. Op deze manier hadden ze miljoenen WordPress-websites van een kwaadaardige update kunnen voorzien.
Voor de ontwikkeling van code op api.wordpress.org maken de ontwikkelaars van WordPress gebruik van een GitHub-webhook. GitHub is een populair online platform voor softwareontwikkelaars en wordt voor allerlei softwareprojecten gebruikt. Via de webhook kunnen de WordPress-ontwikkelaars hun code met die van de WordPress-repository synchroniseren. Een onderzoeker van Wordfence ontdekte echter een manier waardoor hij via de webhook een shellopdracht op api.wordpress.org kon uitvoeren, waarmee hij toegang tot het onderliggende besturingssysteem kreeg en de server kon overnemen.
Vervolgens had hij een kwaadaardige update naar de WordPress-websites kunnen sturen. Deze update had ook toekomstige automatische updates kunnen uitschakelen, zodat het WordPress-team getroffen websites niet meer op afstand kon repareren. De onderzoeker waarschuwde het WordPress-ontwikkelteam, dat binnen een paar uur met een oplossing kwam en de onderzoeker beloonde. "WordPress wordt voor meer dan een kwart van alle websites gebruikt. Een fout van deze omvang zou catastrofaal voor het web zijn geweest", zegt onderzoeker Matt Barry die het probleem ontdekte. De kwetsbaarheid kreeg een 9,8 op een schaal van 10.
Deze posting is gelocked. Reageren is niet meer mogelijk.