WordPress krijgt een automatische updatefunctie voor plug-ins en themes die gebruikers hebben geïnstalleerd, wat het aantal aanvallen op WordPress-sites moet terugdringen. Dat heeft de softwareontwikkelaar via de eigen website bekendgemaakt.

Volgens marktvorser W3Techs wordt WordPress door 36 procent van alle websites op internet gebruikt. Bij websites met een bekend contentmanagementsysteem (CMS) is dit zelfs 63 procent. In het verleden werden WordPress-sites geregeld gecompromitteerd omdat beheerders beschikbare beveiligingsupdates voor het platform niet hadden geïnstalleerd. Om deze gebruikers te beschermen kwam WordPress eind 2013 met een automatische updatefunctie voor alleen het CMS.

WordPress biedt gebruikers ook honderden themes en plug-ins voor het aanpassen van websites, die door externe partijen zijn ontwikkeld. De afgelopen jaren hebben aanvallers op grote schaal gebruikgemaakt van kwetsbaarheden in plug-ins en themes om WordPress-sites te compromitteren en van kwaadaardige code te voorzien. Deze code probeerde bezoekers weer met malware te infecteren of stuurde ze door naar spamsites.

In tegenstelling tot de WordPress-updates moeten gebruikers updates voor hun theme of plug-in handmatig installeren. Iets wat niet alle beheerders doen, waardoor websites kwetsbaar zijn voor aanvallen. Daar gaat nu verandering in komen. De versie van WordPress 5.4 die in augustus verschijnt zal namelijk over een automatische updatefunctie voor plug-ins en themes beschikken.

Beheerders moeten zelf aangeven welke themes en plug-ins ze automatisch willen laten updaten. Daarnaast zal het CMS ook een e-mail versturen wanneer er updates zijn doorgevoerd. De automatische updatefunctie is nu als losse WordPressplug-in te testen, maar zal straks onderdeel van WordPress zelf worden. Via de plug-in hoopt het WordPress-team feedback over de werking te ontvangen.

De updatefunctie moet het aantal gecompromitteerde WordPress-sites gaan terugdringen, hoewel het niet alle aanvallen zal stopen. Het vereist namelijk dat beheerders zelf aangeven dat ze hiervan gebruik willen maken. Daarnaast zijn er de afgelopen maanden meerdere zerodaylekken in plug-ins ontdekt die werden aangevallen voordat er een update beschikbaar was.

In sommige gevallen worden kwetsbare themes en plug-ins niet meer onderhouden door de ontwikkelaar, waardoor websites ondanks een automatische updatefunctie kwetsbaar blijven, tenzij beheerders ze verwijderen. Beheerders krijgen dan ook het advies om gebruikte plug-ins en themes nauwlettend in de gaten te houden. Hieronder een voorbeeld van hoe de updatefunctie er mogelijk gaat uitzien.