Ruim honderdduizend WordPress-sites zijn via een kritieke kwetsbaarheid in de Burst Statistics plug-in op afstand door aanvallers over te nemen. Aanvallers maken inmiddels misbruik van het lek. Via het beveiligingslek kan een aanvaller de authenticatie omzeilen en als admin toegang tot de website te krijgen. Enige vereiste is dat aanvallers de naam van de admin weten. Er is een patch beschikbaar gemaakt die het probleem oplost, maar veel websites hebben die nog niet geïnstalleerd. Securitybedrijf Wordfence verwacht dat aanvallers op korte termijn misbruik van de kwetsbaarheid zullen maken.

Burst Statistics is een plug-in waarmee WordPress-sites allerlei informatie over hun bezoekers kunnen verzamelen. Het wordt door de ontwikkelaars omschreven als een 'privacyvriendelijk' alternatief voor Google Analytics. De plug-in is op meer dan tweehonderdduizend websites geïnstalleerd. Een functie in de plug-in gebruikt voor de authenticatie controleert niet goed of het opgegeven wachtwoord correct is.

Een aanvaller die de naam van administrator weet kan, in combinatie met een fake wachtwoord, een nieuw admin-account aanmaken, aldus Wordfence. De ontwikkelaar kwam op 12 mei met versie 3.4.2 waarin het probleem is verholpen. Op basis van cijfers van WordPress.org blijkt dat de update sindsdien door 94.000 WordPress-sites is gedownload, wat inhoudt dat nog ruim honderdduizend sites risico lopen. Wordfence meldt in de blogposting over het probleem dat aanvallers op korte termijn misbruik van het probleem zullen maken en roept beheerders op om de patch te installeren. In de eigen Intelligence Vulnerability Database laat het securitybedrijf echter weten dat het al misbruik van de kwetsbaarheid heeft waargenomen.

Update

Wordfence laat in de blogposting over de kwetsbaarheid niet weten dat aanvallers misbruik van het probleem maken, maar meldt dit wel in de eigen Intelligence Vulnerability Database. Deze informatie is aan het artikel toegevoegd.