Honderden WordPress-sites zijn kwetsbaar door een lek in een plug-in genaamd CodeArt – Google MP3 Player, waardoor aanvallers informatie kunnen achterhalen om sites volledig mee over te nemen. CodeArt is een plug-in om muziek aan een blog toe te voegen en wordt al jaren niet meer ondersteund.

Via het beveiligingslek is het mogelijk om het bestand wp-config.php uit te lezen, dat gevoelige informatie bevat zoals WordPress-databasenaam, gebruikersnaam, wachtwoord en hostnaam. Ook bevat het de WordPress “secret keys” waarmee het mogelijk is om authenticatiecookies te vervalsen. Alleen al toegang tot de WordPress-database is voldoende om de website over te nemen. Wanneer het wachtwoord van de database hetzelfde is als dat van de beheerder, kan de site ook via de front-end worden gecompromitteerd, zegt onderzoeker Troy Mursch van Bad Packets Report.

Al 4 jaar geleden stelden gebruikers dat de plug-in een kwetsbaarheid bevat die aanvallers gebruikten om configuratiebestanden uit te lezen. Daarop stelde de ontwikkelaar mogelijk het beveiligingslek te zullen dichten. Volgens de WordPress repository verscheen de laatste update voor CodeArt echter zes jaar geleden. De plug-in is inmiddels ook niet meer via de WordPress-site te downloaden.

Mursch ontdekte dat nog bijna duizend WordPress-sites de plug-in gebruiken. Zo’n 400 zijn daarvan kwetsbaar voor aanvallen. De onderzoeker merkt op dat aanvallers actief naar kwetsbare websites zoeken. Webmasters en beheerders krijgen dan ook het advies de plug-in direct te verwijderen.