Haavoittuvuuden paikkaava päivitys on jo julkaistu, ja Seravo kehottaakin kaikkia alustan käyttäjiä asentamaan päivityksen heti. Havaittu aukko antaa verkkohyökkäyksiä tehtaileville “laajat mahdollisuudet nopeaan pahantekoon”.

WordPress-sivujen ylläpitoon Suomessa erikoistuneen Seravon mukaan vakava nollapäivähaavoittuvuus löytyi ohjelmiston WP File Manager -lisäosasta.

– Se antaa hyökkääjille käytännössä vapaat kädet tehdä mitä tahansa millä tahansa WordPress-sivustolla, jossa lisäosa on asennettuna, Seravon toimitusjohtaja Otto Kekäläinen kertoo tiedotteessa.

Yhtiö sai vihiä haavoittuvuudesta havaittuaan epätavallista toimintaa useiden asiakkaidensa sivuilla.

– Rikolliset yrittävät hyödyntää tätä aktiivisesti, mikä näkyy tilastoista. Viimeksi kuluneen vuorokauden aikana on jo yritetty murtautua yli puoleen Seravon ylläpitämistä sivustoista eli noin 2 000 sivustoon hyödyntämällä löydettyä aukkoa, Kekäläinen sanoo.

WordPress on maailman käytetyin verkkosivujen sisällönhallintaohjelmisto. Verkkoteknologiaa seuraavan W3Techs-sivuston ylläpitämien tilastojen mukaan WordPressiä käyttää yli kolmasosa kaikista www-sivuista.

Kolmannen tahon sisällönhallintaohjelmistoja käyttävistä verkkosivuista WordPressin markkinaosuus on lähes kaksi kolmasosaa. Toisena tulevan Shopifyn osuus on alle viisi prosenttia.

Korjattu aiempaa STT:n uutista: Tietoturvahaavoittuvuus on löytynyt WordPress-alustan lisäosasta.