Een ernstig beveiligingslek in WordPress waarvoor onlangs een update verscheen wordt nu gebruikt om websites te hacken. Dat laat beveiligingsbedrijf Sucuri weten dat de kwetsbaarheid ontdekte en aan WordPress rapporteerde. De ontwikkelaar besloot het lek een week lang opzettelijk te verzwijgen totdat voldoende websites de update hadden geïnstalleerd.
Toch zijn er nog altijd websites die op een kwetsbare WordPress-versie draaien. Via het beveiligingslek kunnen aanvallers op afstand en zonder inloggegevens de inhoud van WordPress-sites wijzigen. Binnen 48 uur nadat de kwetsbaarheid openbaar was gemaakt werden de eerste aanvallen waargenomen die misbruik van het beveiligingslek maakten. Inmiddels zijn volgens Sucuri meer dan 66.000 WordPress-pagina's door de aanvallers aangepast.
"WordPress heeft een automatische updatefunctie die standaard staat ingeschakeld, naast een handmatig updateproces dat via één muisklik is uit te voeren. Toch weet niet iedereen van dit beveiligingslek of kan zijn of haar site updaten. Dit zorgt ervoor dat een groot aantal websites wordt gehackt en gedefacet", aldus Daniel Sid van Sucuri. Ongeveer een kwart van alle websites op internet draait op WordPress.
Deze posting is gelocked. Reageren is niet meer mogelijk.