Minstens 2.000 WordPress sites zijn gehackt met een actie die bezoekers doorverwijst naar scam-websites. Dat ontdekten de onderzoekers van Securi Inc. deze week. Het hack profiteert van kwetsbaarheden in verschillende plugins gemaakt door derden, waaronder Simple Fields en het CP Contract Form with Paypal.
De hacker krijgen via de plugins de mogelijkheid om het JavaScript aan te passen dat redirect-scripts laadt voor sites zoals admarketlocation en gotosecond2 in het thema van de site van het doelwit. Het script gaat nog verder. Het maakt ook aanpassingen aan de bestaande WordPress thema-bestanden. Hierdoor kan er ook aanvullende malware worden geïnstalleerd, waaronder PHP backdoors en hack tools.
“Wij moedigen website-eigenaars aan om het aanpassen van primaire mappen uit te schakelen. Zo kunnen hackers er geen bestanden aan toevoegen. Dit zou onderdeel moeten zijn van een strengere beveiliging en best practices voor WordPress.”, adviseren de onderzoekers.
Meer slachtoffers verwacht
Hoewel de installatie van de scam-actie op dit moment is ontdekt op net iets meer dan 2000 WordPresswebsites, gaat dit aantal naar verwachting nog verder stijgen. De kwetsbaarheden die gevonden zijn in de twee WordPress plugins, kunnen ook worden gevonden in andere plugins. WordPress is het populairste CMS op het internet. Maar liefst 35% van alle websites draait op WordPress, wat inhoudt dat de omvang van de hack veel groter is.
“WordPress plugins zijn een voorbeeld van externe risicos voor website en zijn in het verleden al vaak het doelwit geweest,” verkondigt Ameet Naik, een veiligheids evenagelist bij bot detection startup PerimeterX Inc. aan SiliconANGLE. Met slechts één aangetaste plugin, kunnen in één klap duizenden websites worden beschadigd. Daarom blijven plugins een populaire tactiek voor aanvallen.
Groeiende afhankelijkheid van derde partijen
Deze hack waarbij gebruikers van legitieme websites worden doorgestuurd naar scam sites, benadrukt het probleem van vertrouwen op externe partijen. Externe partijen bieden ondersteuning aan websites die willen voldoen aan de groeiende eisen van websitegebruikers, maar ondertussen stellen ze website-eigenaren bloot aan beveiligings- en privacy-risico’s.
Hackers spelen in op deze groeiende afhankelijkheid van derde partijen, die vaak hun software op de markt brengen zonder veel te hebben nagedacht over de beveiliging en privacy. Dit werkte wellicht in het verleden, maar met de strenger wordende regels kunnen bedrijven het belang van privacy en security niet langer blijven onderschatten.