Open source CMS'et Wordpress er platform for millioner af hjemmesider verden over, og det menes, at Wordpress i dag driver hver fjerde hjemmeside på internettet. Læs mere om det her.
Men trods populariteten har Wordpress aldrig været nogen sikkerheds-duks, og nu er den gal igen.
Denne gang er det plugins, der er årsagen til balladen.
Sikkerhedsfirmaet Checkmark skriver i en rapport (PDF), at mange tusinde Wordpress-sider er i risiko for at blive angrebet her op til Black Friday og Cyber Monday - to af årets helt store handelsdage på internettet.
Det skyldes nogle af de plugins, der anvendes til e-handels-løsningerne. Alt for mange Wordpress-plugins er nemlig guf for de it-kriminelle.
Fandt alvorlige sårbarheder
Checkmark har i november undersøgt 12 forskellige plugins til e-handel på Wordpress-sider og har scannet dem for alvorlige sårbarheder.
"Ud af de 12 plugins, vi scanner, har vi opfanget high-risk-sårbarheder i mindst fire af dem," skriver Checkmark."
"Sikkerheds-tilstanden hos de scannede plugins er alarmerende, men da vi vil sikre, at organisationerne bag disse plugins har tid nok til at udbedre de fundne sårbarheder, vil detaljerne forblive anonyme for at holde vores resultater i overensstemmelse med ansvarlige offentliggørelser."
Sikkerhedsfirmaet oplyser blandt andet, at et af de undersøgte plugins indeholder tre sårbarheder, mens de øvrige tre plugins har en sårbarhed hver.
"Hvis de sårbarheder, vi har fundet indtil nu, blev udnyttet, ville brugerne på over 135.000 websider kunne opleve, at deres personlige data var truet af ondsindede parter eller cyberkriminelle."
"Mens de fleste af disse plugins opdateres med jævne mellemrum, kan vi ikke kommentere, om der findes patch-versioner, før vi har underrettet organisationerne bag disse plugins om, at de har en mulig åben dør for angreb."
Selve Wordpress har også problemer
Samtidig med denne type sårbarheder i Wordpress, advares der i disse dage fra flere sider også om, at Wordpress' opdateringsmekanismer ikke er sikre.
DK-Cert skriver i en orientering, at der er fundet sikkerhedshuller i den måde, WordPress opdaterer installationer på.
"Den grundlæggende sårbarhed består i, at opdateringerne ikke er signeret."
"Hvis en angriber kan få adgang til de centrale opdateringsservere og placere sine egne filer på den, kan vedkommende sprede skadelige filer til tusindvis af WordPress-baserede websteder," oplyser DK-Cert.
Læs også:
Heftig diskussion om open source-kode: App-firma anklages for rip-off og kode-tyveri
WordPress CMS-system står nu bag hver fjerde hjemmeside i verden