Vorige maand waarschuwde Security.nl dat hackers actief zoeken naar nieuwe WordPress sites waarvan de installatie nog niet volledig is afgerond, en dat zij deze relatief eenvoudig kunnen overnemen met behulp van de setup-config.php pagina. Nu blijkt dat die hackers in staat zijn om nieuwe WordPress websites veel sneller kunnen vinden dan aanvankelijk werd gedacht; al binnen 30 minuten!
Certificate Transparency
Certificate Transparency is een open standaard waarmee de online gemeenschap uitgegeven SSL-certificaten kan monitoren. Zo kan bijvoorbeeld Facebook zien of iemand een SSL-certificaat voor één van hun domeinen heeft aangevraagd. Ook kunnen security-teams kijken of een certificaatautoriteit ten onrechte een certificaat heeft uitgegeven dat het niet had moeten uitgeven. Dankzij Certificate Transparency kan iedereen kan deze data inzien – dus ook hackers met kwade bedoelingen!
Def Con hackersconferentie
Tijdens de Def Con hackerconferentie in Las Vegas, die eind juli plaatsvond, liet hacker en freelance journalist Hanno Bock zien hoe aanvallers via Certificate Transparency nieuwe WordPress sites kunnen vinden, en deze vervolgens kunnen aanvallen. Hij demonstreerde dat dat al lukte in slechts 30 minuten nadat het nieuwe SSL-certificaat was uitgegeven. Bij WordPress kunnen hackers simpelweg de website monitoren, tot het moment dat de setup-config.php pagina beschikbaar komt. En dan slaan ze toe.
Nieuwe WordPress sites beschermen
Aangezien Google Certificate Transparency verplicht gaat maken vanaf september 2017, is het maar goed dat er nu aan het licht komt hoe het door hackers misbruikt kan worden. Op die manier kunnen er namelijk tijdig maatregelen worden genomen, en kunnen gebruikers beter geïnformeerd worden over hoe zij hun nieuwe WordPress sites kunnen beschermen. Wil je voorkomen dat je het slachtoffer wordt van hackers die de hierboven beschreven methode toepassen, lees dan de veiligheidsmaatregelen in dit artikel door. En hou er bij het opzetten van je nieuwe WordPress sites rekening mee dat hackers tegenwoordig een stuk sneller zijn dan je denkt!