Popüler WordPress eklentisi eski çalışan tarafından hacklendi

WordPress kullanıcıları arasında oldukça popüler bir eklenti olan WPML’nin web sitesi eski bir çalışan tarafından ele geçirildi ve görünümü değiştirildi. Eski çalışan ayrıca WPML kullanıcılarına üzerinde herhangi bir çalışma yapılmamış birçok güvenlik açığı olduğuna dair bir e-posta mesajı gönderdi.

600 bine yakın ücretli kullanıcısı olan WPML, WordPress tabanlı web sitesinin birden fazla dilde yayınlanabilmesini sağlayan bir eklenti. Eklenti kullanıcılar arasında öylesine popüler ki WordPress.org deposunda ücretsiz sürüm yayınlamaya bile gerek duymuyor. Eklenti 2007 yılından bu yana kullanımda.

WMPL ekibine göre bu saldırıyı gerçekleştiren eski bir çalışanları. WMPL’de güvenlik araştırmacısı olarak çalışmış olan bu kişiye göre daha önce şirkete güvenlik açıklarıyla ilgili birçok bildirimde bulunmuş ancak bu açıkların kapatılması için hiçbir çalışma yapılmamış. Bu yüzden WPML kullanıcılarını bu güvenlik açıklarına karşı uyarmaya karar vermiş.

Saldırıyı gerçekleştiren kişi WPML’ye göre sistemdeki bir arka kapıyı kullanarak veritabanına erişmiş. Bu veritabanında sadece e-posta adresi gibi genel bilgiler yer almasına rağmen herhangi bir finansal bilgi bulunmuyormuş. Sistemdeki arka kapı kapatılmış ve tüm kullanıcı parolaları önlem olarak sıfırlanmış.