Er is een kritieke kwetsbaarheid gevonden in een plug-in van WordPress. Door de kwetsbaarheid kan de database van de website eenvoudig gedownload worden. Miljoenen WordPress-sites werden nog maar pas geforceerd geüpdatet om het probleem op te lossen.
WordPress verplichte een update voor miljoenen websites die gemaakt werden met de opensourcesoftware. De update heeft als doel een kritieke kwetsbaarheid in een plug-in, met de naam UpdraftPlus, weg te werken.
Gegevensdiefstal
Websites die gebruik maakten van de plug-in waren niet beschermd tegen gegevensdiefstal. Iedereen met een account op de kwetsbare WordPress-website kon namelijk de private database van de website downloaden. In deze database is doorgaans gevoelige informatie over klanten en over de beveiliging van de website te vinden.
De kwetsbaarheid was volgens de ontwikkelaars van UpdraftPlus dan ook dermate ernstig, dat het een geforceerde update rechtvaardigt. 2,96 miljoen websites ontvingen de update in de voorbije zeven dagen, blijkt uit de cijfers van WordPress.
Versie 1.22.4 of later van de gratis versie en versie 2.22.4 of later van de premium versie, zijn opnieuw veilig.
Plug-in UpdraftPlus
De plug-in is populair bij bezitters van een WordPress-website. UpdraftPlus zorgt er namelijk voor dat data back-ups gesynchroniseerd worden op verschillende clouddiensten, zoals Dropbox, Google Drive en Amazon S3.
De kwetsbaarheid in de plug-in werd ontdekt door Marc Montpas. Eind vorig jaar ontdekte deze beveiligingsonderzoeker bij Automattic ook al twee fouten in een SEO plug-in van WordPress. De update voor deze kwetsbaarheden werd niet geforceerd, waardoor het lang duurt voordat de nieuwste versie op alle kwetsbare websites geïnstalleerd wordt.