De website en database van de populaire WordPress-plugin WP MultiLingual (WPML) zijn afgelopen weekend gehackt. Alle ruim 600.000 gebruikers kregen een e-mail toegestuurd met de melding dat de plugin voor het vertalen en presenteren van WordPress-sites in meerdere talen ongepatchte beveiligingslekken zou bevatten. Volgens WPML betreft het een wraakactie van een oud-medewerker.
Volgens de ontwikkelaar van de populaire plugin voor het veelgebruikte open source contentmanagementsysteem WordPress, heeft de hacker e-mailadressen en namen van klanten ontvreemd. Vervolgens heeft hij ze allemaal een mail gestuurd waarin hij claimt dat WPML beveiligingslekken bevat. In die e-mail stopte de hacker een link waarmee gebruikers zich konden uitschrijven voor de WPML-plugin. Vervolgens gebruikte hij een achterdeur op de website waarmee hij de e-mailtekst ook als een blogpost op de site postte.
Beveiligingsonderzoeker
De hacker zou in zijn e-mail beweren een beveiligingsonderzoeker te zijn, die verschillende kwetsbaarheden aan het WPML-team meldde. Het team zou deze vervolgens hebben genegeerd. De hacker moedigde om die reden gebruikers van de plugin aan hun sites te controleren op mogelijke lekken. Een bewering die WPML volgens ZDNet overigens stellig betwist. Er is geen indicatie dat de plugin ook daadwerkelijk gekraakt is. De acties van de hacker bleven beperkt tot de WPML-website en -database. De broncode van de WPML-plugin staat daar los van.
De voormalig werknemer zou evenmin toegang hebben gekregen tot financiële gegevens, gezien WPML dit soort informatie naar eigen zeggen niet opslaat. Wel laat de ontwikkelaar weten niet uit te kunnen sluiten dat de hacker beschikt over aanmeldgegevens van de WPML.org-accounts als gevolg van het compromitteren van de database van de website.
Het WPML-team laat weten de server inmiddels helemaal opnieuw op te bouwen om langs deze weg de achterdeur te verwijderen. Ook worden als voorzorgsmaatregel alle wachtwoorden voor de klantenaccounts opnieuw ingesteld.
Verouderde PHP-versies
Deze hack betreft het eerste serieuze veiligheidsincident sinds de lancering van de WordPress-plugin in 2007. WordPress als platform zet zich ondanks deze affaire wel actief in voor een veiliger internet. Afgelopen week maakte WordPress nog bekend te stoppen met het ondersteunen van verouderde PHP-versies. De ontwikkelaar van het CMS-platform spoort gebruikers aan hun PHP-servers te voorzien van een update. WordPress is onlangs dan ook gestopt met het geven van ondersteuning voor beveiligingsoplossingen voor PHP 5.6.x en PHP 7.0.x.
WordPress wil in april de huidige vereiste PHP-versie 5.2 upgraden naar versie 5.6 om vervolgens in december versie 7.0 te lanceren: de dan minimaal benodigde versie om een WordPress-site te kunnen beheren. Volgens W3Techs draait ruim 66 procent van álle internetsites op een niet-ondersteunde PHP-versie. Bijna een kwart van alle sites zou bovenop WordPress draaien. WordPress is het eerste grote CMS-project dat een plan aankondigt om gebruikers te migreren naar huidige PHP-versies.
Gerelateerd: WordPress-botnet valt andere WordPress-sites aan