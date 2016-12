Matt Barry, ansvarig utvecklare för Wordfence, säger att hackare har kunnat lägga in egna, mycket svaga, hashalgoritmer som en del i verifikationsprocessen. Vilket i sin tur gjorde att en hemlig nyckel kunde knäckas inom loppet av ett par timmar. Något som ska fångas upp av säkerhetssystemet, men eftersom det inte gjordes in någon högre hastighet passerade inbrytningsförsöken under radarn, skriver The Register.

Enligt Wordpress egna uppskattningar körs omkring 27 procent av alla sajter på internet på deras plattform. Och felet skulle kunna ha påverkat samtliga.

”Vi analyserade koden och hittade sårbarheter som gjorde det möjligt för hackare att köra sin egen kod i api.wordpress.org och få tillgång till den”, skriver Matt Barry.

Men attacken behövde stannade inte där. För när det väl fanns en väg in och viruset var på plats. Ja då kunde också den automatiska uppdateringen slås ut. Kort sagt: Wordpress skulle inte kunna laga sårbarheten.

Felet uppdagades den 2 september och lagningen skickades ut fem dagar senare. Matt Barry tycker dock fortfarande att servern api.wordpress.org är en svag punkt i ekosystemet. För det borde inte komma som en överraskning för Wordpress, bristerna vid installationen av uppdateringar har påpekats tidigare. Men de tycks inte ha lyssnat.