100.000 WordPress-sites bevatten plug-in-lek dat aanvaller admin maakt

In dit artikel:

Meer dan honderdduizend WordPress-sites lopen het risico op overname door een kritieke kwetsbaarheid in de plug-in Burst Statistics. Beveiligingsbedrijf Wordfence ontdekte dat een fout in de authenticatiecontrole het mogelijk maakt om zonder geldig wachtwoord als beheerder op een site terecht te komen, mits de aanvaller de gebruikersnaam van een admin kent; daarmee kan een nieuw admin-account worden aangemaakt. Burst Statistics, gepresenteerd als een privacyvriendelijk alternatief voor Google Analytics, staat op ruim 200.000 sites. De ontwikkelaar bracht op 12 mei versie 3.4.2 uit die het lek dicht, maar volgens cijfers van WordPress.org is die update slechts door ongeveer 94.000 sites geïnstalleerd, waardoor ruim honderdduizend sites nog kwetsbaar zijn. Wordfence waarschuwt voor snel verwacht misbruik en raadt beheerders aan direct te updaten, te controleren op onbekende admin-accounts en de site te scannen en te herstellen vanuit een recente back-up.