Gennem flere måneder har hackere haft adgang til 1,2 millioner WordPress-brugeres data.
WordPress er blandt verdens absolut største CMS- og blog-platforme, og anvendes til mere end 40 procent af verdens websites.
Det er det amerikanske hosting-selskab GoDaddy, der har opdaget sårbarheden.
GoDaddy hoster mange millioner websites, og af dem har selskabet altså nu opdaget, at data har været eksponeret for 1,2 millioner sites.
Selskabet meddeler, at det har opdaget ‘uautoriseret adgang’ til dets WordPress-servere fra 6. september og frem til nu.
GoDaddy håndterer her - som de øvrige hosting-selskaber, der anvender WordPress - grundlæggende opgaver som installering, backup, opdateringer og lignende.
Ifølge selskabet har der været adgang til oplysninger om de 1,2 millioner brugeres adresser, kundenumre, admin passwords, database-brugernavne og sFTP-brugernavne og lignende.
GoDaddy advarer om, at oplysningerne kan anvendes til blandt andet avancerede phishing-angreb.
Ifølge ZDNet meddeler WordPres-sikkerhedsselskabet WordFence, at det ser ud til, at GoDaddy har lagret SFTP-credentials i enten plaintext eller et lignende åbent format.
“Det har givet angriberen mulighed for at få adgang til passwords uden at være tvunget til at cracke dem,” hedder det.