De WordPress plug-in WP Automatic is al enkele maanden een populair doelwit van hackers. Een kwetsbaarheid in de plug-in geeft aanvallers een achterdeur die niet zomaar te sluiten is.
De kwetsbaarheid in WP Automatic werd op 13 maart ontdekt. Sindsdien is het aantal aanvalspogingen dat de kwetsbaarheid probeert uit te buiten, in razend tempo gestegen. WPScan, een beveiligingstool voor WordPress plug-ins, schat het aantal op meer dan 5,5 miljoen, met een piek die bereikt werd op 31 maart.
9,9 op tien
Wat is precies aan de hand? WP Automatic is een plug-in om het importeren en publiceren van content te automatiseren. CVE-2024-27956, zoals de kwetsbaarheid gelabeld werd, geeft hackers de mogelijkheid om een account met beheerdersrechten aan te maken en bestanden met schadelijke code te importeren.
Eens aanvallers via het achterpoortje in je WordPress-omgeving zijn binnen geraakt, is het niet zo eenvoudig om ze naar de uitgang te krijgen. De kwetsbaarheid krijgt daarom ook de bijna maximale CVSS-score van 9,9 op tien.
Actief uitgebuit
Meer dan 30.000 websites wereldwijd zouden gebruik maken van de WP Automatic plug-in. Hoeveel websites daarvan al exact gecompromitteerd zijn, is onduidelijk, maar de plug-in wordt dus wel zeer actief uitgebuit.
Er zijn indicatoren die erop wijzen dat jouw website getroffen is: beheerdersaccounts die beginnen met xtw of bestanden met de naam web.php en index.php dienen de alarmbellen te laten afgaan. WP Automatic bijwerken naar 3.92.1 of later, doet de achterpoortjes dicht.
Kwetsbaarheden in WordPress plug-ins komen niet zelden voor. Door het hoge aantal websites dat steunt op WordPress, kunnen dergelijke kwetsbaarheden in één klap duizenden websites treffen. Plug-ins vereisen net zoals je website regelmatig onderhoud: verouderde plug-ins kunnen zeer schadelijk zijn. Met regelmatige back-ups maken van je website doe je nooit iets verkeerds: zo kan je snel een recente versie van je website herstellen, moest het toch eens misgaan.