Kritisk sårbarhed i Wordpress-modul: Hackere kan stjæle din konto via kommentarfeltet

En kritisk sårbarhed i et meget populært Wordpress-plugin gør det muligt at køre skadelig kode via kommentarfeltet. Se her, hvordan hackerne gør. Og hvordan du kan forhindre det.

Artikel top billede

(Foto: Kiyoshi Takahase / iStockphoto)

Det er tid til at opdatere Jetpack, hvis du har en Wordpress-side.

En sårbarhed i indstiksprogrammet gør det nemlig muligt for hackere at angribe dig og dine besøgende via kommentarfeltet.

Jetpack er et plugin fra Automattic, firmaet bag Wordpress, og det giver websiden en række ekstrafunktioner.

Siden lanceringen er Jetpack blevet hentet mere end 25 millioner gange, og man regner med, at der i dag er over en million aktive installationer.

I alle versioner fra 2.0, der blev frigivet i 2012, findes en alvorlig xss-sårbarhed, rapporterer sikkerhedsfirmaet Sucuri nu i en advarsel.

"Sårbarheden kan nemt udnyttes via Wordpress-kommentarfeltet, og vi anbefaler alle at opdatere med det samme," skriver Marc-Alexandre Montpas, der er sikkerhedsforsker i firmaet.

Funktion til billeder og sociale medier

Problemet ligger i Shortcode Embeds Jetpack-modulet en funktion, som lader brugerne anvende eksterne videoer, billeder eller indlæg fra sociale medier i sine kommentarer.

Desværre kan funktionen også anvendes til at placerer valgfri Javascript-kode i feltet - kode som en besøgende browser kører automatisk.

En angriber kan drage nytte af den situation til at stjæle Wordpress-konti eller sende den besøgende til en ondsindet webside. Det er også en mulighed, at gemme SEO-spam i kommentarfeltet.

Sider, der ikke har Shortcode Embeds Jetpack aktiveret, bliver naturligvis ikke påvirket, men i standardindstillingen er funktionen slået til.

For sider med en berørt Jetpack-version er der to løsninger på problemet.

Opdater til version 4.03 eller nyere. Det er også muligt at punktopdatere, hvis du af en eller anden grun ikke ønsker, at opdatere hele indstiksprogrammet.

Udviklerne har frigivet sikkerhedsrettelser til 21 ældre versioner. Dem kan du finde her, hvor der også er en vejledning.

Læs også:
Gratis kryptering på vej til en million hjemmesider

WordPress CMS-system står nu bag hver fjerde hjemmeside i verden

Joomla og Wordpress under angreb: Rammes af ransomware

Event: Computerworld Cloud & AI Festival 2026

Digital transformation | Ballerup

Eksplosiv udvikling i cloud og AI kræver overblik og viden. Computerworld samler 3.000 it-professionelle, 70+ leverandører og 120+ talere om AI, infrastruktur, data, compliance og sikkerhed. To dage med viden og netværk. Tilmeld dig nu.

16 & 17 september 2026 | Gratis deltagelse

Navnenyt fra it-Danmark

Sharp Consumer Electronics har pr. 1. april 2026 ansat Daniel Eriksson som salgsdirektør for de nordiske lande. Han skal især beskæftige sig med at accelerere virksomhedens vækst i Norden. Han kommer fra en stilling som nordisk salgsdirektør hos Hisense. Han har tidligere beskæftiget sig med detailhandel, kommerciel strategi og markedsudvidelser med bemærkelsesværdige resultater til følge. Nyt job

Daniel Eriksson

Sharp Consumer Electronics

IFS Danmark A/S har pr. 1. juni 2026 ansat Lasse Hounsgaard som AI Account Executive. Lasse skal især beskæftige sig med udrulning af IFS.ai Logistics i Norden. Lasse kommer fra en stilling som Manufacturing Account Executive hos Autodesk ApS. Lasse er uddannet cand.merc. i International Virksomhedsøkonomi. Lasse har tidligere beskæftiget sig med digitalisering af danske og nordiske virksomheder. Nyt job

Lasse Hounsgaard

IFS Danmark A/S

Steen Marquard,  Jabra, er pr. 15. juni 2026 udnævnt som Regional President for Norden og UK. Han er uddannet HD(O). Han beskæftiger sig med I sin nye rolle får Steen ansvar for at videreudvikle salget af virksomhedens professionelle lyd- og videoløsninger, samt styrke samarbejdet med channel teams og partnere på tværs af regionen. Udnævnelse
Elbek & Vejrup A/S har pr. 1. juni 2026 ansat Mikkel Bernt Buchvardt som AI Architect & Product Manager. Han skal især beskæftige sig med udviklingen af AI-Services og AI-Agenter i og omkring Business Central. Han kommer fra en stilling som Lead Data & Analytics hos IBM. Han er uddannet MSc. i softwareudvikling fra ITU. Han har tidligere beskæftiget sig med Data og BI hos KMD og Seges Innovation. Nyt job

Mikkel Bernt Buchvardt

Elbek & Vejrup A/S