Een onbekend aantal WordPress websites is momenteel het slachtoffer van een grootschalige aanvalscampagne. Daarbij wordt misbruik gemaakt van een aantal lekken in WordPress plugins. Dat meldde WordPress securitybedrijf Wordfence in een blogpost.
Malvertising campagne
Het Defiant Threat Intelligence team heeft een zogeheten malvertising campagne geïdentificeerd. Daarbij worden op geïnfecteerde websites ongewenste popup advertenties weergegeven. Op die manier worden bezoekers naar verkeerde bestemmingen geleidt. Dit type campagnes is allesbehalve nieuw, maar deze aanvallen trokken de aandacht van het team. Er wordt namelijk misbruik gemaakt van een aantal recentelijk openbaar gemaakte lekken in WordPress plugins.
Lekken in WordPress plugins
Het gaat om lekken in WordPress plugins Coming Soon and Maintenance Mode, Yellow Pencil Visual CSS Style Editor en Blog Designer.Voor alle drie de plugins waren al beveiligingsupdates uitgerold om de lekken te patchen. Echter zijn die updates nog niet op alle WordPress websites geïnstalleerd. Dit is waarom tijdig je WordPress plugins updaten zo belangrijk is!
Popup advertenties
Bij de websites die een van de 3 getroffen plugins gebruiken, kunnen hackers kwaadaardige code aan de websites toevoegen. Tenminste, als de beveiligingsupdate voor die plugin nog niet is geïnstalleerd. In dat geval verschijnen er zoals gezegd dus popup advertenties. Deze sturen bezoekers door naar onder andere malafide Android-apps, helpdeskfraude en illegale advertenties voor medicijnen en pornografie.
Advies
Mikey Veenstra van Wordfence adviseert webmasters om regelmatig te controleren of er updates beschikbaar zijn voor WordPress plugins. Zelfs als er in de changelog van een nieuwe versie geen melding van een patch wordt gemaakt. Het kan namelijk zijn dat de plugin ontwikkelaar hier bewust nog geen melding van maakt. Dit om te voorkomen dat kwaadwillenden misbruik van de kwetsbaarheid kunnen maken voordat alle gebruikers geüpdatet hebben.