Miljoenen WordPress-sites kwetsbaar door lekke plugin

De plug-in, genaamd MailPoet, is zo'n 1,7 miljoen maal gedownload en kan dus in principe in evenzovele websites actief zijn. De plug-in biedt een hacker toegang tot de volledige site zonder dat inloggegevens nodig zijn. De site kan dan bijvoorbeeld worden gebruikt voor het verspreiden van malware en spam of het verzamelen van gegevens van de bezoekers.

Het lek werd ontdekt door IT-beveiliger Sucuri en gisteren wereldkundig gemaakt middels een blog. De maker van MailPoet heeft inmiddels een veilige versie beschikbaar met het versienummer 2.6.7. Alle voorgaande versies zijn kwetsbaar.

Opensource CMS aantrekkelijk doelwit

Vorige week werd ook al een lek gevonden in de TimThumb plug-in voor WordPress die het mogelijk maakt automatisch het formaat van afbeeldingen aan te passen.

De kwetsbaarheden in populaire opensource contentmanagementsystemen staan extra in de belangstelling nu hackers de afgelopen jaren steeds vaker dit soort vaak semi-professionele of hobby-websites gebruiken voor het samenstellen van een botnet als alternatief voor het infecteren van individuele Windows-computers. De beheerders van dergelijke websites wordt daarom aangeraden steeds zo snel mogelijk de updates aan het CMS of de geïnstalleerde componenten, modules en plug-ins van derden te installeren.