Kwetsbaarheden in ten minste 11 WordPress plugins worden momenteel misbruikt voor een hackcampagne. Het lijkt te gaan om een groep van hackers. De aanvallen begonnen vorige maand al, echter leek de groep twee weken terug hun tactiek te veranderen. Dat meldde Mikey Veenstra in een blogpost op de website van WordFence.
Verandering van tactiek
In de eerste instantie was de kwaadaardige code waarmee sites geïnjecteerd werden, bedoeld om pop-up advertenties te laten zien. Ook werden bezoekers doorverwezen naar malafide websites. Maar volgens Veenstra hebben de hackers op 20 augustus hun code gewijzigd. Daardoor is de code nu ook in staat om te controleren of een bezoeker de rechten heeft om gebruikersaccounts op de site aan te maken. Op het moment dat iemand met admin rechten inlogt, maakt de code ongemerkt een nieuwe admin account aan. Hiervoor wordt gebruik gemaakt van het e-mailadres van wpservices@yandex.com en het wachtwoord w0rdpr3ss. Die admin account kunnen de hackers vervolgens gebruiken als ‘achterdeurtje’ voor later gebruik.
11 plugins misbruikt
Tot dusver lijken de hackers zich te richten op oude kwetsbaarheden in 11 plugins. Een aantal maanden geleden werd al bekend dat Yuzo Related Posts en WP Live Chat Support niet veilig waren. Daarnaast zijn ook de onderstaande plugins getroffen:
- Bold Page Builder
- Blog Designer
- Live Chat with Facebook Messenger
- Visual CSS Style Editor
- Form Lightbox
- Hybrid Composer
- Alle voormalige NicDark plugins (o.a. nd-booking, nd-travel en nd-learning).
Updates & controle van accounts
De plugin ontwikkelaars hebben inmiddels patches uitgebracht die de kwetsbaarheden repareren. Maar er zijn nog altijd flink wat gebruikers die niet de laatste versie van de hierboven genoemde plugins gebruiken. Zij lopen dus nog wel gevaar.
Behalve het updaten van plugins tot de meest recente versie worden admins aangeraden om de gebruikersaccounts op hun website te controleren. Indien er wordt geconstateerd dat er onbekende admin accounts tussen staan, dienen deze onmiddellijk verwijderd te worden. Daarna is het goed om een security plugin te gebruiken om de website te scannen op eventuele andere achterdeurtjes. Niet-technische gebruikers die constateren dat er onrechtmatige toegang tot hun website verkregen is, worden aangeraden een specialist in te schakelen. Die specialist kan dan hun WordPress website opschonen.