Een beveiligingslek in een populaire WordPressplug-in wordt op het moment actief door aanvallers gebruikt om kwetsbare websites over te nemen. De kwetsbaarheid bevind zich in Easy WP SMTP, een plug-in waarmee WordPress-sites SMTP-verbindingen voor uitgaande e-mail kunnen instellen.

Meer dan 300.000 websites hebben de plug-in geïnstalleerd. Het afgelopen weekend verscheen er een beveiligingsupdate voor de kwetsbaarheid, maar het lek werd daarvoor al aangevallen. Volgens securitybedrijf NinTechNet maken aanvallers tenminste al sinds 15 maart misbruik van de kwetsbaarheid. Via het lek kan een ongeauthenticeerde aanvaller onder andere WordPress-instellingen aanpassen of code injecteren en uitvoeren.

NinTechNet waarschuwde de ontwikkelaars van de plug-in, waarna er op 17 maart een beveiligingsupdate werd uitgebracht. Securitybedrijf Wordfence laat weten WordPress-sites inmiddels op grote schaal worden aangevallen en beheerders krijgen dan ook het dringende advies om meteen naar Easy WP SMTP Plugin versie 1.3.9.1 te updaten.

Wordfence meldt dat het twee aanvalscampagnes heeft waargenomen. Bij de eerste campagne maken de aanvallers een administrator aan, maar doen vervolgens niets. Mogelijk dat deze accounts op een later moment worden gebruikt. De aanvallers achter de tweede campagne laten gecompromitteerde websites naar "tech support scams" doorverwijzen, waarbij gebruikers meldingen te zien krijgen dat er problemen met hun computer zijn en ze het opgegeven telefoonnummer voor een oplossing moeten bellen. In werkelijkheid is het een nummer van helpdeskfraudeurs.