Meer dan 2500 WordPress-sites draaien een script dat al vijf jaar niet meer wordt ondersteund en in het verleden op grote schaal is gebruikt om websites mee aan te vallen. Het gaat om TimThumb, een eenvoudig PHP-script om de afmetingen van afbeeldingen aan te passen.

Een groot aantal WordPress-sites maakte er gebruik van. In 2011 werd er een kwetsbaarheid in het script ontdekt waardoor aanvallers willekeurige PHP-scripts naar websites met TimThumb konden uploaden. Jarenlang werd hier op grote schaal misbruik van gemaakt. Zo gebruikten aanvallers het lek om kwaadaardige code aan WordPress-sites toe te voegen die bezoekers met malware probeerde te infecteren.

In 2014 maakte de ontwikkelaar bekend dat hij, mede vanwege de impact van het beveiligingslek, de ondersteuning en beheer van TimThumb stopte. Gebruik van het script was dan ook op eigen risico, aldus de ontwikkelaar. Nu vijf jaar later zijn er nog altijd 2512 websites waarop het script draait, zo stelt securitybedrijf Sucuri. Negentig procent van deze websites bleek een bekend kwaadaardig bestand te bevatten.

"Dit houdt in dat er nog steeds kans op misbruik is via de bekende TimThumb-lekken. Het laat ook zien hoe belangrijk het is om onderdelen te gebruiken die actief worden beheerd en ondersteund", aldus onderzoeker Denis Sinegubko.