WordPress-sites die gebruikmaken van de zeer populaire plug-in Jetpack zijn het doelwit van een aanval met hergebruikte wachtwoorden. Dat laat securitybedrijf Wordfence weten. Jetpack is een plug-in voor het maken en terugzetten van back-ups, blokkeren van spam, scannen op malware, monitoren van up- en downtime, beschermen tegen bruteforce-aanvallen en het inschakelen van tweefactorauthenticatie. Meer dan vijf miljoen WordPress-sites maken er gebruik van.

Ongeacht of gebruikers de WordPress-site zelf hosten of bij WordPress.com hebben ondergebracht, het gebruik van een WordPress.com-account is verplicht om van Jetpack gebruik te kunnen maken. Eén van de features van Jetpack maakt het mogelijk voor gebruikers die zijn ingelogd op WordPress.com om allerlei beheertaken op de gekoppelde WordPress-site uit te voeren, waaronder de installatie van plug-ins.

Aanvallers proberen nu via hergebruikte wachtwoorden toegang tot de WordPress.com-accounts te krijgen, om vervolgens malafide plug-ins te installeren. Deze plug-ins zorgen ervoor dat bezoekers van de WordPress-site automatisch worden doorgestuurd naar malafide websites. Wordfence stelt dat het aantal op deze manier besmette websites is verdubbeld, maar noemt geen aantallen.

Gebruikers van Jetpack wordt aangeraden om een uniek wachtwoord voor hun WordPress.com-account te gebruiken en tweefactorauthenticatie in te stellen. "Als je niet actief gebruik maakt van Jetpack, koppel je site dan los van WordPress.com of schakel de plug-in uit", adviseert het securitybedrijf.