Zeker tienduizend WordPress-sites zijn nog altijd kwetsbaar voor aanvallen omdat een beschikbare beveiligingsupdate niet is geïnstalleerd. De websites maken gebruik van The Plus Addons voor Elementor. Elementor is een zogeheten “page builder” plug-in die de standaard WordPress-editor vervangt. Het biedt gebruikers meer vrijheid en mogelijkheden voor het vormgeven van hun WordPress-site en introduceert allerlei extra functionaliteit.

The Plus Addons is een betaalde uitbreiding voor Elementor die verschillende widgets toevoegt die in combinatie met Elementor zijn te gebruiken. Er zouden zo’n 30.000 WordPress-sites van gebruikmaken. Eén van deze widgets, voor het registreren en inloggen van gebruikers, bevat een kwetsbaarheid. Dit beveiligingslek is op een schaal van 1 tot en met 10 wat betreft de ernst met een 9,8 beoordeeld. Het lek zorgt ervoor dat een aanvaller nieuwe beheerders kan aanmaken of als al bestaande beheerders kan inloggen.

De kwetsbaarheid werd al voor het uitkomen van een beveiligingsupdate aangevallen. Op 9 maart kwamen de ontwikkelaars van de add-on met een patch. Volgens securitybedrijf Wordfence heeft een kleine zestig procent van de websites de update inmiddels geïnstalleerd. Zeker tienduizend websites hebben dat niet gedaan en lopen daardoor risico.

Wordfence claimt dat het miljoenen aanvallen heeft waargenomen waarbij aanvallers het hadden voorzien op het beveiligingslek in The Plus Addons. Zodra aanvallers een website hebben gecompromitteerd voegen ze onder andere JavaScript toe die bezoekers naar malafide websites doorstuurt.

Source