Een beveiligingsonderzoeker heeft gewaarschuwd voor kwetsbaarheden in het updateproces van WordPress waar aanvallers in theorie misbruik van zouden kunnen maken. WordPress is het populairste contentmanagentsysteem (cms) op internet en wordt naar schatting voor 26% van alle websites gebruikt.

WordPress beschikt over een updatefunctie waarbij beheerders hun website via het cms kunnen updaten. Het enige verificatieproces dat bij het downloaden van de update van de WordPress-servers wordt gebruikt is een md5-checksum, zo waarschuwt onderzoeker Scott Arciszewski. Verder wordt nergens in het proces de cryptografische handtekening gecontroleerd. Alle WordPress-sites vertrouwen daarnaast de updateserver.

Volgens Arciszewski is deze server dan ook de grootste "single point of failure" op internet. "Als je erin slaagt hun infrastructuur te hacken kun je een valse update naar miljoenen WordPress-blogs versturen en overal willekeurige code uitvoeren." De onderzoeker stelt verder dat PHP voor versie 5.6.0 over zeer slechte ondersteuning van sslt/tls beschikt. Een man-in-the-middle-aanval zou dan ook tot de mogelijkheden behoren, zo laat hij weten. WordPress blijft echter PHP 5.2.4 ondersteunen.

De kans dat de problemen worden opgelost zijn echter klein, aldus Arciszewski. "De WordPress-cultuur, voor wie het niet weet, vindt gebruikersaandeel belangrijker dan veiligheid." De onderzoeker gelooft dan ook niet in een oplossing. Wel heeft hij een aantal tips voor WordPress-beheerders om de veiligheid van hun website te verbeteren. Daarnaast geeft hij ook het WordPress-ontwikkelteam verschillende aanwijzingen, zoals ervoor zorgen dat WordPress alleen recentere PHP-versies ondersteunt.