De meeste WordPress-sites zijn onveilig omdat ze verouderde versies van het contentplatform draaien waarin beveiligingslekken aanwezig zijn. Dat laat IBM op basis van eigen onderzoek weten. Hoewel WordPress sinds oktober 2013 met de lancering van WordPress 3.7 over een automatische updatefunctie beschikt die kleine core-updates installeert, blijkt dat veel websites achterlopen.
Van de WordPress-sites die IBM onderzocht had minder dan 4 procent de meest recente versie geïnstalleerd. Daardoor lopen websites het risico om te worden gehackt en bijvoorbeeld voor phishing, spam, malware of het doorsturen van gebruikers naar andere websites te worden gebruikt. Verdere analyse van de gehackte WordPress-sites laat zien dat zelfs relatief "up-to-date" websites worden gecompromitteerd.
Bijna 68 procent van de gehackte hosts draait op een WordPress-versie van minder dan zes maanden (ongeveer drie versies) oud. Meer dan 40 procent draait een versie die minder dan 30 dagen (maximaal één versie) oud is. "Het feit dat een groot percentage van WordPress-installaties up-to-date is en nog steeds door spammers wordt gecompromitteerd, kan erop wijzen dat spammers misbruik van een WordPress-lek maken snel nadat het bekend wordt, wat de tijd verkort waarin een systeembeheerder de laatste WordPress-patches kan installeren", aldus de onderzoekers.
Ze stellen dat het gebruik van 'custom' plug-ins en themes ervoor kan zorgen dat beheerders automatische updates uitschakelen. "Updates kunnen de custom code resetten en daardoor de vormgeving en het uiterlijk van de websites beïnvloeden. In dit geval plaatsen de meeste beheerders klantervaring voor automatische veiligheid", merken de onderzoekers op. Ze stellen dat WordPress-beheerders naast het snel installeren van patches ook actief WordPress-sites op ongewenste content moeten scannen.
Bron: Security.nl