WordPress is verreweg de meest gebruikte technologie voor het bouwen van websites. Volgens recente statistieken draait meer dan 35% van alle websites op het WordPress CMS. Doordat er zoveel WordPress-websites zijn, is ook het aanvalsoppervlak groot. Hackers maken daar gebruik van. Er vinden constant pogingen plaats om WordPress sites te hacken.
De eerste maanden van 2020 lijkt het aantal hacks van WordPress sites wat te verminderen vergeleken met wat we vorig jaar zagen. Het lijkt erop dat hackers een korte pauze namen. In de laatste twee weken zagen we het aantal aanvallen tegen WordPress-websites weer groeien.
Volgens cybersecurity-bedrijven is er een constante groei in het aantal aanvallen op WordPress sites. Alle nieuwe aanvallen die afgelopen maand ontdekt werden, maakten misbruik van bugs in WordPress-plugins in plaats van WordPress zelf.
Bugs en zero-day kwetsbaarheden
Veel van de aanvallen richtten zich op recente bugs in plugin die net gepatcht waren. Hackers hopen websites te kunnen kapen voordat administrators de patches toepassen.
Sommige aanvallen gingen een stapje verder. Aanvallers ontdekten en maakten misbruik van zero-days, kwetsbaarheden die nog onbekend zijn voor de ontwikkelaars van de plugin.
We adviseren om WordPress-plugins zo snel mogelijk te updaten. Zo wordt voorkomen dat hackers gebruik kunnen maken van de bugs in de plugins.
Er zijn aanvallen ontdekt op de volgende WordPress-plugins.
Duplicator: vanaf half februari maken hackers misbruik van een bug in Duplicator. Duplicator is eenvan de meest populaire wordpress Plugins met meer dan een miljoen installaties op het moment dat de aanvallen begonnen. De bug, die is opgelost met versie 1.3.28, maakt het mogelijk voor aanvallers om een kopie van de site te maken, de database inloggegevens te achterhalen en de onderliggende MySQL-server van de WordPress-website te kapen.
Profile builder plugin: ook bij deze plugin zit er een grote bug in zowel de gratis als de pro-versie. Door de bug kunnen hackers onbevoegde admin-accounts installeren op WordPress-websites. De bug werd gepatcht op 10 februari, maar de aanvallen begonnen om 24 februari. Minstens twee hacker-groepen maken misbruik van deze bug.
Themegrill Demo Importer: dezelfde hacker-groepen die gebruik maken van de Profile Builder Plugin-bug richten zich ook op Themegrill Demo Importer. Door de bug kunnen hackers de site volledig leegmaken en vervolgens het admin-account overnemen. Themerex Addons: op 18 februari vonden hackers een zero-day kwetsbaarheid en begonnen hier gebruik van te maken om vreemde admin-accounts aan te maken op kwetsbare site. Hoewel de aanvallen doorgaan, is er nooit een patch beschikbaar gemaakt. Aan administrators wordt geadviseerd om de plugin zo snel mogelijk van hun website te halen.
Lees ook: Bugs in WordPress-plugins geven admin-toegang weg en wissen websites