“WordPress-hack Onthult: Jouw Website Staat Op Instorten!”
IT Insights
Websitebeheerders die gebruik maken van het populaire WordPress-thema Motors moeten direct actie ondernemen. Onderzoekers van Wordfence hebben een kritieke beveiligingslek ontdekt waardoor hackers ongeautoriseerde toegang kunnen krijgen tot beheeraccounts. De kwetsbaarheid, geregistreerd onder CVE-2025-4322, treft alle versies van het thema tot en met versie 5.6.67. Het lek bevindt zich in de “Login Register” widget en stelt aanvallers in staat om zonder authenticatie wachtwoorden te wijzigen, waardoor zij volledige controle kunnen overnemen van websites. Het thema, ontwikkeld door StylemixThemes en populair bij automotive-gerelateerde websites, heeft ruim 22.000 verkochte licenties en wordt gebruikt door een actieve gemeenschap van websitebeheerders.
De aanvalsmethode is bijzonder verontrustend en vraagt om directe aandacht. Hackers maken gebruik van geraffineerde technieken waarbij zij specifieke URL’s doorzoeken zoals /login-register of /account om vervolgens met gemanipuleerde POST-verzoeken het authenticatieproces te omzeilen. Door ongeldige UTF-8 tekens te gebruiken slagen zij erin de interne hashvergelijking te misleiden, waardoor zij wachtwoorden kunnen resetten. Geobserveerde aanvalswachtwoorden variëren van “Testtest123!@#” tot meer complexe reeksen zoals “rzkkd$SP3znjrn”. Na geslaagde infiltratie creëren de aanvallers nieuwe beheeraccounts om hun toegang te behouden, wat kan resulteren in het buitensluiten van legitieme beheerders.
