We wtyczce do oprogramowania WordPress znaleziono lukę. Wadliwy plugin, Accelarator Mobile Pages (AMP), którzy przyspiesza renderowanie stron internetowych na urządzeniach mobilnych, wprawdzie została już załatana, ale na blogu autorów wtyczki pojawił się komunikat informujący, że została ona wycofana z oficjalnych repozytoriów tymczasowo i w przeciągu kilku dni, po usunięciu błędów w zabezpieczeniach, ponownie się pojawi. Autorzy nie ujawnili szczegółów dotyczących luki, poinformowali tylko, że może ona zostać wykorzystana do włamania przez osoby nieposiadające uprawnień administratora. Aktualnie dostępna już jest poprawiona, wolna od błędu wersja oznaczona numerem 0.9.97.20.
Administratorzy stron www opartych na najpopularniejszym obecnie systemie zarządzanie treścią, którzy chcieli zainstalować wtyczkę za pośrednictwem panelu administracyjnego WordPressa, zobaczyli taki komunikat „Wtyczka została wycofana i nie można jej pobrać”.
Powodem wycofania wtyczki było odkrycie błędu, który umożliwiał hakerom instalowanie na stronach opartych na WordPressie backdoorów, złośliwego kodu oraz zakładanie kont użytkownika na prawach administratora. Zaskakująca jest opublikowana przez autorów wtyczki informacja, być może mająca na celu uspokojenie użytkowników, że do czasu wydania poprawki można z niej nadal korzystać. Rada zdecydowanie nie wzbudzała zaufania.
Badacze z WebARX, firmy zajmującej się zabezpieczeniem stron internetowych przed atakami, opublikowali więcej szczegółów na temat luki. Z kolei autorzy Wordfence – popularnego firewalla i skanera antywirusowego dedykowanego dla WordPressa – potwierdzili, że luka była aktywnie wykorzystywana przez przestępców do ataku XSS, polegającym na wstrzyknięciu w treść strony złośliwego kodu skryptowego wykonywanego przez przeglądarkę internetową. W efekcie przestępcy mogli w atakowanym WordPressie tworzyć własnych użytkowników z prawami administratora, którym przydzielano najczęściej nazwę „supportuuser” (mogła zostać oczywiście zmieniona na inną).
Pracownicy z firmy Bitdefender podkreślają, że WordPress jest obecnie najpopularniejszym CMS-em. Dostępne są dla niego tysiące wtyczek, które niestety mogą zawierać luki. Z obu tych powodów stał się dla hakerów jednym z najatrakcyjniejszych celów. Dlatego należy pamiętać o stałej konieczności aktualizowania zarówno samego WordPresa, jak i wykorzystywanych wtyczek.
