Een Amerikaans beveiligingsbedrijf heeft gewaarschuwd voor het hypen van lekken in het contentmanagementsysteem WordPress. Aanleiding is berichtgeving op verschillende websites over een lek in een WordPress-plug-in waardoor meer dan 1 miljoen websites risico zouden lopen.
De kwetsbaarheid bevond zich in de plug-in genaamd WP Slimstat. Via het lek zou een "blind" SQL Injection-aanval mogelijk zijn. Hiermee zou een aanvaller informatie uit de database kunnen lezen. Volgens beveiligingsbedrijf WhiteFir Design worden dit soort kwetsbaarheden niet bij geautomatiseerde aanvallen ingezet, waar de meeste WordPress-sites mee te maken hebben. Daarnaast was het lek op het moment van de berichtgeving al gepatcht.
"De kansen dat het lek wordt misbruikt zijn vrij klein in vergelijking met een kwetsbaarheid waardoor PHP-bestanden naar een website kunnen worden geĆ¼pload, dat zeker zal worden aangevallen", aldus de IT-beveiliger. Het bedrijf hekelt ook het genoemde aantal van meer dan 1 miljoen websites. De plug-in in kwestie is meer dan 1 miljoen keer gedownload, maar downloads wil nog niet zeggen dat er evenveel websites met de plug-in zijn.
In het geval van WordPress worden namelijk updates voor plug-ins ook als een download meegeteld. Het aantal daadwerkelijke gebruikers ligt dan ook veel lager dan het aantal downloads. Volgens WhiteFir Design hebben de berichten in de media daarnaast de mogelijkheid om schadelijk voor de veiligheid van WordPress-sites te zijn. Gebruikers moeten hun plug-ins namelijk altijd up-to-date houden, zeker omdat ontwikkelaars niet altijd vermelden dat ze kwetsbaarheden hebben verholpen.
Bron: Security.nl