Kwaadwillenden kunnen via een publiek of onbeveiligd wifi-netwerk een WordPress-installatie overnemen, ook als tweestapsverificatie is ingeschakeld. Dat heeft een hoofdontwikkelaar van het opensource-cms bevestigd. Hij zegt dat er een fix komt.
Een medewerker van de Amerikaanse equivalent van Bits of Freedom, Electronic Frontier Foundation, ontdekte dat alle WordPress-installaties vatbaar zijn voor hijacking, meldt ArsTechnica maandag. Dat komt door een zogeheten key cookie, die de gebruikersnaam en het wachtwoord onversleuteld via de browser verstuurt. Het gaat om de cookie met de tag 'wordpress_logged_in'.
Volgens de medewerker, Yan Zhu, kunnen kwaadwillenden de cookie onderscheppen als gebruikers via een onbeveiligde verbinding inloggen. Ze kon de werkwijze reproduceren en kwam erachter dat ze meteen was ingelogd, zonder daarbij haar inloggegevens te geven. Bovendien bleek tweestapsverificatie via de telefoon zo te kunnen worden gepasseerd, zo maakte ze donderdag al wereldkundig.
Zhu kon door het lek onder de naam van de blogger posts plaatsen, privéberichten lezen en statistieken bekijken. Daarnaast kon ze in zijn naam reacties schrijven. Tenslotte kon ze het e-mailadres dat was gekoppeld aan het account, veranderen. Daardoor kan de eigenaar van de WordPress-installatie zijn wachtwoord niet aanpassen. Tenslotte kon Zhu de tweestapsverificatie inschakelen als dat nog niet het geval was, waarmee de aanvaller de gebruiker feitelijk van de site weert. Het veranderen van het wachtwoord is niet mogelijk; daarvoor is een aparte cookie noodzakelijk, die wel is versleuteld.
WordPress-hoofdontwikkelaar Andrew Nacin bevestigde donderdag al in een tweet de kwetsbaarheid. Hij zei dat er een patch is gepland voor de volgende release, die nog niet is uitgebracht. Tot die tijd zijn alle WordPress-installaties vatbaar, mits er sprake is van de genoemde voorwaarden voor de aanval. Zhu raadt gebruikers dan ook aan niet in te loggen via onbetrouwbare internetverbindingen.
Het is de tweede keer in korte tijd dat aanvallers via cookies kunnen inloggen op WordPress-systemen. Vorige maand pletten de ontwikkelaars nog een bug waardoor het voor kwaadwillenden mogelijk was om via nagemaakte authenticatie-cookies in WordPress te komen. De vroege versie van 3.9, versie 3.8 en 3.7 waren kwetsbaar.