A kommentekben elhelyezett kártékony kód akkor fut le, amikor a weboldal gazdája belép az admin felületre. A finn biztonsági szakember, Klikki Oy mostani felfedezése weboldalak millióinak biztonságát érintheti, hiszen a Wordpress keretrendszer nagyon népszerű és elterjedt világszerte.

A kommentek szűrésére egy hatékony lehetőség lehet például a spamszűrésre alkalmas Akismet, amely igaz hogy fizetős, de a havi 10, illetve cégek esetében havi 50 dollárért még így is sokaknak megérheti a használatot. Nyilván aztán előbb-utóbb érkezik frissítés a sebezhetőségekre is, ez most a 4.2.1-es, április 27-én kiadott verziót jelenti, ám emellett a szakértő javasolja a kommentezési lehetőség kikapcsolását is, amivel megelőzhető ez a fajta támadás.

Nem ez volt az első kártékony Wordpress pluginnel kapcsolatos incidens, emlékezetes lehet például az a 2012-es eset, amelynél legalább 30 ezer weboldal esett áldozatul, a beszúrt kód segítségével pedig hamis antivírust terjesztettek. Ott a szakértők szerint a tömeges fertőzés nagy valószínűséggel egy bárki által szabadon letölthető, ám kártékonynak bizonyuló ToolsPack nevű plugin miatt indulhatott el.

Az elhanyagolt Wordpress oldalakra egyébként nem is olyan régen a németországi CERT is felhívta a figyelmet, hiszen az áldozatok rendre gyanútlan átlagfelhasználók. Gyakori forgatókönyv ugyanis, hogy a különféle sebezhető pluginek segítségével automatikusan keresnek sérülékeny oldalakat, amelyek még a korábbi modult használják, ezzel pedig tulajdonképpen felhasználói közreműködés - kattintás - nélkül kompromittálhatók az oldalak.

Ha valaki esetleg érintett egy ilyen történetben, akkor érdemes figyelni arra is, hogy a frissítéseken felül az ilyenkor kötelező admin jelszócserékről se feledkezzen meg.

Tulajdonképpen nem is a Wordpress az ami itt igazából a fő gyenge láncszem, hanem maga a frissítéseket tartósan elhanyagoló felhasználó. Ez pedig - legyen szó akár Windowsról, akár Adobe Reader-ről, Java-ról vagy nevezetesen Wordpress-ről, pluginekről - sajnos nem hagyható el fájdalmas következmények nélkül. Visszatérve a tartalomkezelő rendszerre, vagy mindenki megtanulja és megcsinálja maga - ehhez mindössze pár óvodás szintű kattintásra van szükség, ami a Wordpress esetében magából az Admin menüből könnyedén elintézhető, ha ez még sem járható, akkor kérjen meg erre valakit - vagy ellenkező esetben fertőzésnek teszi ki a weboldalát, ami később kártevőket terjeszthet a látogatók felé is.

Itt is érvényes tehát az elv, miszerint "A gravitáció nemismerete nem mentesít a zuhanás alól", vagy ugyanez Zen köntösben: "Minden szenvedés végső oka a nemtudás".