Meer dan 300.000 WordPress-sites zijn het slachtoffer geworden van een backdoor in de plug-in Captcha. Deze plug-in zorgt ervoor dat er aan invoervelden op WordPress-sites een captcha wordt toegevoegd.
Sofwarebedrijf BestWebSoft was vroeger de eigenaar van Captcha. Op 5 september werd deze populaire plug-in overgenomen door een ander bedrijf. Het blijkt echter dat dit nieuwe bedrijf al eerder WordPress-plug-ins heeft opgekocht voor dubieuze zaken. De nieuwe eigenaar heeft ook al eerder invoegtoevoegingen van een backdoor voorzien.
Beheerderstoegang
De achterdeur bevindt zich in Captcha-versie 4.3.6 tot en met versie 4.4.4. De malafide wijziging zorgde ervoor dat de plug-in een zip-bestand downloadde. De eigenaar van de plug-in kon zich hiermee beheerderstoegang verschaffen tot meer dan 300.000 WordPress-websites.
Update
Securitybedrijf Wordfence heeft aangekondigd over dertig dagen nadere technische details te publiceren over de werking van de backdoor. Ondanks het feit dat het WordPress.org plug-inteam een update voor deze kwetsbaarheid heeft uitgegeven, adviseert Wordfence om de plug-in te verwijderen.