WordPress-lisäosa WP Maps Pro sisältää kriittisen haavoittuvuuden, joka sallii hyökkääjien luoda ylläpitäjätilejä ilman autentikointia. Aktiivisia hyökkäyksiä havaittu.
WordPress-sivustoille on havaittu aktiivisia hyökkäyksiä, jotka hyödyntävät WP Maps Pro -lisäosan kriittistä haavoittuvuutta. Tietoturvaongelma mahdollistaa hyökkääjien luoda ylläpitäjätilejä sivustoille ilman minkäänlaista autentikointia, mikä antaa täyden hallinnan WordPressin ylläpitoon.
Haavoittuvuus koskee laajasti käytössä olevaa karttalisäosaa, jota käytetään interaktiivisten karttojen lisäämiseen WordPress-sivustoille. Tietoturvatutkijat ovat havainneet, että hyökkäykset ovat jo alkaneet ja haitallista liikennettä on havaittu useiden WordPress-sivustojen suuntaan. Ongelma on erityisen vakava, koska se ei vaadi minkäänlaista ennakkotietoa sivustosta tai käyttäjätunnuksia.
Sivustojen ylläpitäjien tulisi välittömästi tarkistaa WP Maps Pro -lisäosan versio ja päivittää se turvalliseen versioon, mikäli sellainen on saatavilla. Toistaiseksi kehittäjät eivät ole julkaisseet korjausta, joten lisäosan poistaminen käytöstä saattaa olla ainoa keino suojautua hyökkäyksiltä tässä vaiheessa.
Tapaus korostaa kolmannen osapuolen WordPress-lisäosien riskejä erityisesti mikroyritysten verkkosivustoille, joiden tietoturva riippuu usein ylläpitäjän oma-aloitteisuudesta. MSP-toimittajien kannattaa tarkistaa asiakkaiden WordPress-sivustot mahdollisten haavoittuvien lisäosien varalta ja varmistaa, että automaattiset päivitykset ovat käytössä.
Tärkeimmät pointit
- WP Maps Pro -lisäosa sisältää autentikoimattoman admin-tilin luontibugin
- Aktiivisia hyökkäyksiä havaittu WordPress-sivustoille vuonna 2026
- Haavoittuvuus ei vaadi ennakkotietoa sivustosta tai tunnuksia
- Kehittäjät eivät ole vielä julkaisseet turvapäivitystä
- Suositus: poista lisäosa käytöstä välittömästi
- Erityisriski mikroyritysten WordPress-sivustoille
Lähde: Bleeping Computer — alkuperäinen artikkeli julkaistu 31.5.2026
