Het is mogelijk om via publieke en onbeveiligde wifi-netwerken een wordpress-installatie over te nemen. De hoofontwikkelaar van het opensource-cms heeft dit recentelijk bevestigd.
Zhu (een medewerker van het Amerikaanse equivalent van Bits of Freedom) ontdekte dat alle wordpress installaties vatbaar zijn voor hijacking. De zogeheten key cookie verstuurt onversleutelde inloggegevens via de browser waardoor het mogelijk is de gegevens te lezen. Anderen kunnen de cookies onderscheppen als er een gebruiker via een onbeveiligde verbinding inlogt, omdat de werkwijze dan gereproduceerd kan worden. Daarnaast heeft WordPress een tweestaps verificatie. Dat betekent dat je via de telefoon een code krijgt toegestuurd die je dan moet invullen naast je inloggegevens. Dit geeft anders geen probleem omdat het niet zo moeilijk om deze verificatie te omzeilen.
Door deze slechte beveiliging is het mogelijk om: onder de naam van de blogger berichten te plaatsen, privéberichten te lezen en het emailadres te veranderen dat gekoppeld is aan het account. Ook kun je de tweestaps verificatie inschakelen waardoor de eigenaar van de site niet meer in kan loggen. Het wachtwoord van de site kun je niet veranderen omdat hiervoor een andere cookie noodzakelijk is die wel versleuteld is.
Hoofdontwikkelaar van WordPress bevestigde de kwetsbaarheid van de inlog gegevens. Hij gaf aan dat er een patch is gepland voor de volgende release. Wanneer de volgende release uitkomt is nog niet bekend. Hij raadt tot die tijd iedereen aan niet in te loggen via onbekenden wifi-netwerken.
Zhu heeft deze bug afgelopen vrijdag al bekend gemaakt, 24 uur nadat ze het ontdekt had. Laten we hopen dat ze het snel oplossen, dus wees bij deze gewaarschuwd!
Bron: Link