Nieuws

WordPress stak gigantisch lek in de doofpot

Vorige week kreeg blogdienst WordPress te maken met een zero-day-lek. Het maakte dat niet bekend, maar zegt daar een goede reden voor te hebben.

Blogdienst WordPress kreeg te maken met een zero-day-lek en loste dat in alle stilte op. Het verkoos de informatie niet bekend te maken, maar beweert dat het daar een goeie reden voor had: “we hadden geen indicaties die aangaven dat de kwetsbaarheid werd uitgebuit in het wild,” zegt Aaron Campbell, een medewerker die WordPress onderhoudt.

Campbell vertelt dat WordPress principieel elk lek of kwetsbaarheid bekend wil maken in het teken van openheid. Daarom brengen ze het nieuws nu pas naar buiten, nadat ze de kans kregen om het lek in alle stilte te dichten. “Zonder we dat hackers op ideeën brachten,” zegt Campbell.

Spam en advertenties

De kwetsbaarheid zou betrekking hebben op miljoenen WordPress-websites, zegt ook beveiligingsonderzoeker Marc-Alexandre Montpas van Sucuri die het lek ontdekte. Het lek bevindt zich in elke 4.7-versie van WordPress die vorige week geen update ontving. Updaten is dus de boodschap. Wie dat niet doet, loopt het risico dat er geknoeid wordt met berichten op zijn website.

Wie het lek vindt, kan berichten aanpassen en injecteren met code die vanop afstand bestuurd kan worden. Op die manier zou een aanvaller een SEO-spamcampagne kunnen opzetten; de Google PageRank van die website wordt daarbij zwaar aangetast. Ook advertenties kunnen ingevuld worden, waardoor jouw website de hobby van een hacker financiert. “Zelfs PHP-code kan worden ingepast,” zegt Montpas.

Goed voorbereid

WordPress wilt benadrukken dat het zijn gebruikers dan wel in het ongewisse liet, maar dat het toch de nodige voorzorgen had getroffen. Zo werden een aantal bedrijven, gespecialiseerd in webfirewalls, gemobiliseerd om een oogje in het zeil te houden. Het onder meer over Akamai, SiteLock, CloudFlare en Incapsula. Ook WordPress-hosts werden op de hoogte gebracht.

Uiteindelijk meldde elk van die instanties dat er in de kwetsbare periode geen ongewone activiteit werd opgemerkt. Het sterkte WordPress in zijn tactiek waarin het zijn blazoen kon oppoetsen zonder te veel aandacht te wekken.

Beveiligingbloglekwordpresszero day

Gerelateerde artikelen

Volg ons

Bespaar tot 83% op Surfshark One

Bespaar tot 83% op Surfshark One

Bekijk prijzen