image

Gebruikers WordPressplug-in WPML getroffen door datalek

maandag 21 januari 2019, 09:44 door Redactie, 2 reacties
Laatst bijgewerkt: 21-01-2019, 11:33

Gebruikers van de WordPressplug-in WPML zijn getroffen door een datalek waarbij een aanvaller hun namen, e-mailadressen en sitekeys in handen kreeg. Dit weekend werd er op de website van WPML ingebroken. WPML is een plug-in waarmee WordPress-sites eenvoudig in verschillende talen kunnen worden aangeboden. De ontwikkelaars claimen dat WPML op meer dan 600.000 websites draait.

Het datalek kwam aan het licht nadat de aanvaller naar gebruikers een e-mail verstuurde waarin hij beweerde dat WPML onveilig is en vol beveiligingslekken zit. De buitgemaakte sitekeys worden door websites gebruikt om updates van WPML.org te ontvangen. De ontwikkelaars van de plug-in benadrukken dat de aanvaller met de sitekeys geen updates of andere aanpassingen naar de websites van gebruikers kan pushen.

Alle gebruikers krijgen het advies om hun account op WPML.org te resetten. Naar aanleiding van de inbraak heeft WPML.org de website geüpdatet, alles herbouwd en opnieuw geïnstalleerd. Verder is toegang tot het beheergedeelte via tweefactorauthenticatie beveiligd en de toegang die de webserver tot het bestandssysteem heeft beperkt.

In een verklaring op de eigen website stelt het WPML-ontwikkelteam dat de aanval door een ex-werknemer is uitgevoerd die een oud ssh-wachtwoord zou hebben gebruikt. De aanval zou niet via een exploit in WordPress, WPML of ander plug-in zijn uitgevoerd. Later deze week komt het ontwikkelteam met meer informatie over de inbraak.

Reacties (2)
21-01-2019, 20:06 door Anoniem
Precies daarom nooit WPML gebruikt. Het is zoals die gravatars in Wordpress. Dat maakt ook uitstapjes naar buiten. Wat is daar leuk of nodig aan. Oude google ambities of niet meer in je windows kunnen zonder outlook account of zo. Niet van deze tijd.
22-01-2019, 20:51 door Anoniem
Door Anoniem: Precies daarom nooit WPML gebruikt. Het is zoals die gravatars in Wordpress. Dat maakt ook uitstapjes naar buiten. Wat is daar leuk of nodig aan. Oude google ambities of niet meer in je windows kunnen zonder outlook account of zo. Niet van deze tijd.
En een alternatief is?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.