Een populaire Wordpress-plug-in met meer dan 1,7 miljoen downloads op de teller is kwetsbaar voor verregaande hacks.

WordPress-websites die de plug-in Mailpoet gebruiken zijn kwetsbaar voor hacks waarmee een aanvaller bijna de volledige controle kunnen overnemen. Gezien de downloadteller zijn dat er zo'n 1,7 miljoen sites.

Securitybedrijf Sucuri ontdekte de bug en waarschuwt websitebeheerders om de zaak serieus te nemen. Daniel Cid van Sucuri: "Een aanvaller kan deze kwetsbaarheid gebruiken zonder enige privileges of accounts op de website in kwestie te hebben. Dit is een enorme bedreiging, en elke website die de plug-in geïnstalleerd heeft is kwetsbaar."

Door de bug kan een aanvaller eender welk bestand op de servers van een site uploaden. Het spreekt voor zich dat daar een groot aantal onaangename scenario's uit kunnen voortvloeien. Volgens Cid behoren phishing-aanvallen, het zenden van spam en het hosten van malware allemaal tot de mogelijkheden.

Mailpoet geeft websites de optie om nieuwsbrieven aan te maken en automatisch berichten en antwoorden te posten.

De net uitgebrachte versie 2.6.7 lost het probleem op; alle gebruikers van Mailpoet moeten dan ook zo snel mogelijk updaten.

Dit bericht komt er minder dan een week nadat bekend raakte dat Timthumb, een andere populaire plug-in, een zwakke plek heeft waardoor hackers kwaadaardige code kunnen uitvoeren in een website.

De laatste jaren is het een duidelijke trend dat aanvallers steeds minder vaak hun pijlen richten op Windows. Serversoftware als WordPress en Apache zijn vandaag meer gewilde slachtoffers.

Voor eigenaars van WordPress-websites mag dit nog eens een reminder zijn: het is van cruciaal belang voor de veiligheid van je site dat je alle updates aan het CMS en bijhorende plug-ins zo snel mogelijk uitvoert.