Sikkerhedsfolk slår alarm: Sårbare CMS-plugins kan blive udnyttet til angreb i de kommende dage

Sårbare e-handels-plugins til Wordpress risikerer at blive udnyttet til angreb i de kommende dage, hvor der vil blive handlet ekstra store beløb på nettet på grund af Black Friday. Mange tusinde websider er i farezonen.

Artikel top billede

(Foto: scyther5 / scyther5)

Open source CMS'et Wordpress er platform for millioner af hjemmesider verden over, og det menes, at Wordpress i dag driver hver fjerde hjemmeside på internettet. Læs mere om det her.

Men trods populariteten har Wordpress aldrig været nogen sikkerheds-duks, og nu er den gal igen.

Denne gang er det plugins, der er årsagen til balladen.

Sikkerhedsfirmaet Checkmark skriver i en rapport (PDF), at mange tusinde Wordpress-sider er i risiko for at blive angrebet her op til Black Friday og Cyber Monday - to af årets helt store handelsdage på internettet.

Det skyldes nogle af de plugins, der anvendes til e-handels-løsningerne. Alt for mange Wordpress-plugins er nemlig guf for de it-kriminelle.

Fandt alvorlige sårbarheder

Checkmark har i november undersøgt 12 forskellige plugins til e-handel på Wordpress-sider og har scannet dem for alvorlige sårbarheder.

"Ud af de 12 plugins, vi scanner, har vi opfanget high-risk-sårbarheder i mindst fire af dem," skriver Checkmark."

"Sikkerheds-tilstanden hos de scannede plugins er alarmerende, men da vi vil sikre, at organisationerne bag disse plugins har tid nok til at udbedre de fundne sårbarheder, vil detaljerne forblive anonyme for at holde vores resultater i overensstemmelse med ansvarlige offentliggørelser."

Sikkerhedsfirmaet oplyser blandt andet, at et af de undersøgte plugins indeholder tre sårbarheder, mens de øvrige tre plugins har en sårbarhed hver.

"Hvis de sårbarheder, vi har fundet indtil nu, blev udnyttet, ville brugerne på over 135.000 websider kunne opleve, at deres personlige data var truet af ondsindede parter eller cyberkriminelle."

"Mens de fleste af disse plugins opdateres med jævne mellemrum, kan vi ikke kommentere, om der findes patch-versioner, før vi har underrettet organisationerne bag disse plugins om, at de har en mulig åben dør for angreb."

Selve Wordpress har også problemer

Samtidig med denne type sårbarheder i Wordpress, advares der i disse dage fra flere sider også om, at Wordpress' opdateringsmekanismer ikke er sikre.

DK-Cert skriver i en orientering, at der er fundet sikkerhedshuller i den måde, WordPress opdaterer installationer på.

"Den grundlæggende sårbarhed består i, at opdateringerne ikke er signeret."

"Hvis en angriber kan få adgang til de centrale opdateringsservere og placere sine egne filer på den, kan vedkommende sprede skadelige filer til tusindvis af WordPress-baserede websteder," oplyser DK-Cert.

Læs også:

Heftig diskussion om open source-kode: App-firma anklages for rip-off og kode-tyveri

WordPress CMS-system står nu bag hver fjerde hjemmeside i verden

Joomla og Wordpress under angreb: Rammes af ransomware

Læses lige nu

    Event: Cyber Security Festival 2026

    Sikkerhed | København

    Mød Danmarks skrappeste it-sikkerhedseksperter og bliv klar til at planlægge og eksekvere en operationel og effektiv cybersikkerhedsstrategi, når vi åbner dørene for +1.700 it-professionelle. Du kan glæde dig til oplæg fra mere end 70 talere og møde mere end 50 leverandører over to dage.

    18 & 19 november 2026 | Gratis deltagelse

    Softværket

    Bliv AI Lead i Softværket

    Sydjylland

    Capgemini Danmark A/S

    AI/Data Engineer

    Københavnsområdet

    Forsvarsministeriets Materiel- og Indkøbsstyrelse

    Tekniske specialister til ITSM og CMDB til opbygning af Forsvarets nye Digital Backbone

    Midtjylland

    Aller Leisure A/S

    Erfaren softwareudvikler til rejsebranchen

    Københavnsområdet

    Navnenyt fra it-Danmark

    Trafikstyrelsen har pr. 1. maj 2026 ansat Nihad Hodzic som IT og Digitaliseringschef. Han skal især beskæftige sig med med IT-projekter og digital transformation, herunder især det strategiske løft af Trafikstyrelsens digitale niveau. Han kommer fra en stilling som Kontorchef hos Udviklings og Forenklingsstyrelsen. Han er uddannet i statskundskab og har en lederuddannelse fra MIT Sloan, samt en igangværende Master i IT-Ledelse. Han har tidligere beskæftiget sig med IT-udvikling og større projekter på momsområdet, hvor han har ledet et projekt- og udviklingskontor. Nyt job

    Nihad Hodzic

    Trafikstyrelsen

    Immeo har pr. 1. maj 2026 ansat Sofie Amalie Buur som Consultant. Hun kommer fra en stilling som Frontend Engineer & UI/UX Designer hos Valyrion. Hun er uddannet Cand.it. Softwaredesign ved ITU. Nyt job
    Netip A/S har pr. 1. maj 2026 ansat Ida Hyllested Friis som Key Account Manager ved netIP's kontor i Thisted. Hun kommer fra en stilling som Key Account Manager hos Københavns erhvervshus. Nyt job
    Netip A/S har pr. 1. maj 2026 ansat Steffen Bendix Søjberg som Systemkonsulent ved netIP's kontor i Rødekro. Han kommer fra en stilling som Systemadministr,og har været i branchen i mange år. Nyt job