De ontwerpers van WordPress, een populaire blogsoftware, hebben een beveiligingsprobleem ontdekt in al hun versies tot de huidige 3.8 versie. WordPress heeft nu voor een patch gezorgd en gebruikers worden ook geadviseerd om hun huidige versie te updaten.
De gevoeligheid in het CMS-pakket is ontdekt door Jon Cave van het WordPress security team. Door het hacken van de software kunnen aanvallers door het vervalsen van authenticatiecookies het WordPress-systeem binnendringen, legt hoofdontwikkelaar Andrew Nacin uit op de WordPress-blog. Het beveiligingsprobleem betreft de huidige versie 3.8 maar ook de voorgaande versie 3.7 én de testversie die reeds in gebruik is voor versie 3.9, waarvan de definitieve release gepland staat voor deze maand. Gebruikers krijgen als advies zo snel mogelijk hun sites te updaten naar de WordPress 3.8.2 versie. In deze versie zijn er ook verbeteringen toegevoegd en zijn andere kleine beveiligingsproblemen en een aantal bugs weggewerkt. Onder meer het uitvoeren van een “low impact” SQL-injectie en een mogelijkheid tot cross-domain scripting in de bestand-uploader Plupload worden daarmee uitgebannen. Het downloaden van de veilige versie 3.8.2 kan via het Dashboard-menu onder het kopje Updates en het vervolgens klikken op ‘Update Now’. Alle websites die automatisch updaten hebben aanstaan hebben de update naar WordPress 3.8.2 inmiddels gekregen. Oprichter Matt Mullenweg van Automattic, het bedrijf achter WordPress, kondigde aan dat 18,9 procent van “webgebruik” de open source WordPress gebruikt.