Lek in WordPress-plug-in maakt half miljoen websites kwetsbaar
De technologiewebsite BleepingComputer meldt dat wie slechte bedoelingen heeft de kwetsbaarheid zou kunnen uitbuiten om via de plug-in de websites in kwestie over te nemen.
Volgens securitybedrijf Patchstack, dat het lek op 25 januari ontdekte, zou het gaan om de Essential Addons for Elementor-plug-in gaan. Die vervangt de standaardtekstverwerker in WordPress en moet auteurs meer opmaakmogelijkheden geven bij het opstellen van content.
Plug-in niet up-to-date
Hoewel het lek intussen al werd gedicht, hebben veel websitebeheerders de update nog niet geïnstalleerd. Patchstack had de kwetsbaarheid nochtans gemeld op de dag dat die bekendraakte. Ontwikkelaar Automattic heeft die drie dagen later, op 28 februari, verholpen.
Dat het lek dus in de praktijk blijft bestaan, kan grote zorgen baren. WordPress is nu eenmaal het meestgebruikte contentmanagementsysteem ter wereld. Naar schatting zijn tientallen miljoen websites gebouwd op de software van WordPress. Het zijn in veel gevallen de plug-ins die voor problemen zorgen, omdat ze niet allemaal even veilig zijn. En uiteindelijk zal het dus van de websitebeheerders afhangen of een update tijdig doorgevoerd wordt.
BleepingComputer schrijft dat meer dan een miljoen websites de bewuste plug-in gebruiken. Dat blijkt uit cijfers van WordPress zelf. 600.000 van hen zouden de update nog niet hebben geïnstalleerd, waardoor ze dus kwetsbaar blijven voor indringers.