Datalek in WordPress plug-in WPML

Gebruikers van de WordPressplug-in WPML zijn getroffen door een datalek waarbij een aanvaller hun namen, e-mailadressen en sitekeys in handen kreeg. Dit weekend werd er op de website van WPML ingebroken. WPML is een plug-in waarmee WordPress-sites eenvoudig in verschillende talen kunnen worden aangeboden. De ontwikkelaars claimen dat WPML op meer dan 600.000 websites draait.

 

Het datalek kwam aan het licht nadat de aanvaller naar gebruikers een e-mail verstuurde waarin hij beweerde dat WPML onveilig is en vol beveiligingslekken zit. De buitgemaakte sitekeys worden door websites gebruikt om updates van WPML.org te ontvangen. De ontwikkelaars van de plug-in benadrukken dat de aanvaller met de sitekeys geen updates of andere aanpassingen naar de websites van gebruikers kan pushen.

 

Alle gebruikers krijgen het advies om hun account op WPML.org te resetten. Naar aanleiding van de inbraak heeft WPML.org de website geüpdatet, alles herbouwd en opnieuw geïnstalleerd. Verder is toegang tot het beheergedeelte via tweefactorauthenticatie beveiligd en de toegang die de webserver tot het bestandssysteem heeft beperkt.

 

In een verklaring op de eigen website stelt het WPML-ontwikkelteam dat de aanval door een ex-werknemer is uitgevoerd die een oud ssh-wachtwoord zou hebben gebruikt. De aanval zou niet via een exploit in WordPress, WPML of ander plug-in zijn uitgevoerd. Later deze week komt het ontwikkelteam met meer informatie over de inbraak.


Bron: Security.nl

Comments are closed.