1 februari 2022 16:29

Lek in WordPress-plug-in maakt half miljoen websites kwetsbaar

Een beveiligingslek in een populaire plug-in voor WordPress maakt meer dan een half miljoen websites kwetsbaar voor cybercriminelen.

De technologiewebsite BleepingComputer meldt dat wie slechte bedoelingen heeft de kwetsbaarheid zou kunnen uitbuiten om via de plug-in de websites in kwestie over te nemen.

Volgens securitybedrijf Patchstack, dat het lek op 25 januari ontdekte, zou het gaan om de Essential Addons for Elementor-plug-in gaan. Die vervangt de standaardtekstverwerker in WordPress en moet auteurs meer opmaakmogelijkheden geven bij het opstellen van content.

Plug-in niet up-to-date

Hoewel het lek intussen al werd gedicht, hebben veel websitebeheerders de update nog niet geïnstalleerd. Patchstack had de kwetsbaarheid nochtans gemeld op de dag dat die bekendraakte. Ontwikkelaar Automattic heeft die drie dagen later, op 28 februari, verholpen.

Dat het lek dus in de praktijk blijft bestaan, kan grote zorgen baren. WordPress is nu eenmaal het meestgebruikte contentmanagementsysteem ter wereld. Naar schatting zijn tientallen miljoen websites gebouwd op de software van WordPress. Het zijn in veel gevallen de plug-ins die voor problemen zorgen, omdat ze niet allemaal even veilig zijn. En uiteindelijk zal het dus van de websitebeheerders afhangen of een update tijdig doorgevoerd wordt.

BleepingComputer schrijft dat meer dan een miljoen websites de bewuste plug-in gebruiken. Dat blijkt uit cijfers van WordPress zelf. 600.000 van hen zouden de update nog niet hebben geïnstalleerd, waardoor ze dus kwetsbaar blijven voor indringers.

Schrijf je in op onze nieuwsbrief en ontvang elke werkdag het beste uit de techwereld in je mailbox.

Marijn Ceulemans

Gebruikt zijn iPhone als Google-telefoon. Deze allround-nieuwsgierigaard heeft een passie voor wagens en gaming. Hij droomt ook graag weg over ruimtevaart.