Ruim 300.000 WordPress-sites lopen het risico om door aanvallers te worden overgenomen doordat ze een kwetsbare versie van de plug-in File Manager gebruiken. De kwetsbaarheid, die op een schaal van 1 tot en met 10 wat betreft de ernst met een 10 is beoordeeld, werd al aangevallen voordat een beveiligingsupdate beschikbaar was. Hoewel er inmiddels een patch is te downloaden hebben de meeste kwetsbare sites die nog niet geïnstalleerd.

Via File Manager kunnen WordPress-beheerders eenvoudig bestanden van hun website beheren zonder hiervoor van FTP gebruik te maken. De plug-in draait op meer dan 700.000 websites. File Manager bevat een library genaamd elFinder, een open source file manager die voor een eenvoudige bestandsmanagementinterface zorgt en de kernfunctionaliteit achter de plug-in biedt.

Het probleem met File Manager werd veroorzaakt doordat de plug-in de naam van een bestand van de elFinder-library had hernoemd van .dist naar .php. Dit php-bestand is voor iedereen toegankelijk. Een aanvaller kan het bestand aanroepen en gebruiken om de library een commando uit te laten voeren, zoals het uploaden van een webshell waarmee er toegang tot de website kan worden verkregen.

Na ontdekking van de aanvallen kwam de ontwikkelaar van File Manager gisteren met een beveiligingsupdate. De kwetsbaarheid is aanwezig in versie 6.0 tot en met 6.8. Uit statistieken van WordPress blijkt dat 45 procent van de WordPress-sites met deze plug-in gebruikmaakt van versie 6.4, 6.5 of 6.7, en zijn zodoende kwetsbaar. Bij elkaar gaat het om 315.000 websites. Van 29 procent wordt het versienummer niet vermeld, waardoor het aantal kwetsbare websites mogelijk nog veel hoger is.

Securitybedrijf Wordfence meldt dat het al 450.000 aanvallen tegen WordPress-sites heeft voorbij zien komen. NinTechNet laat weten dat aanvallers in het geval van een succesvolle aanval het kwetsbare bestand van een wachtwoord voorzien, om zo misbruik door andere aanvallers te voorkomen. Beheerders worden dan ook opgeroepen om versie 6.9 te installeren, die de kwetsbaarheid verhelpt. Deze versie draait inmiddels op 7 procent van de WordPress-sites met File Manager.