Biztonsági kutatók sérülékenységeket találtak egy Wordpress-pluginban, ha ezt az oldalak adminisztrátorai nem frissítik, hekkerek átveheti az oldaluk irányítását, illetve ellophatják a felhasználóik adatait – írja a Kiberblog.

A WP GDPR Compliance nevű modul segít a wordpresses oldalak adminisztrátorainak a sütik, adatvédelmi szabályzatok és a felhasználói adatigénylések kezelésében, vagyis gyakorlatilag abban, hogy meg megfeleljenek a GDPR – az EU-s adatvédelmi rendelet – szigorú adatvédelmi előírásainak.

Akinél viszont a modul 1.4.2-es vagy annál korábbi verziója fut, pont emiatt ütheti meg könnyen a bokáját. Ezekben a verziókban ugyanis két olyan sérülékenységet is találtak, amelyeket kihasználva egy támadó hozzáférhet az oldal tartalmához, tehát akár a felhasználók személyes adataihoz is. Emellett létre tud hozni egy új, adminisztrátori jogokkal rendelkező felhasználói profilt, meg tudja változtatni az oldal tartalmát, sőt ki is tudja zárni az eredeti adminisztrátort.

Márpedig ezt a modult világszerte 100 ezer oldal használja, köztük 400-500 magyar oldal is, és bár a konkrét verziószámokról nincs adat, valószínűtlen, hogy túl nagy arányban lenne telepítve a néhány napja kiadott frissítés (amely javítja a két hibát), hiszen az adatvédelmi incidensek egyik leggyakoribb oka éppen a rendszeres frissítések hanyagolása.

Aki érintett, vagy nem tudja, hogy az-e, de van wordpresses oldala, magyarul a blogposztban talál részleteket arról, mire érdemes figyelnie, és ha az oldala kompromittálódott, mit kell tennie. Persze a legfontosabb, hogy mint mindent, a plugint is rendszeresen frissítse. A sérülékenységeket a Sucuri nevű biztonsági cég szúrta ki, az eredeti posztjuk angolul itt olvasható.