Als je momenteel bezig bent met het bouwen van een WordPress site, zorg dan dat je de juiste maatregelen neemt. Hackers scannen op internet actief naar nog niet afgeronde WordPress installaties om die vervolgens eenvoudig over te nemen. Dat meldde de website Security.nl gisteren.
Setup-config.php
Wanneer je WordPress op je server hebt geïnstalleerd, moet de website zelf natuurlijk nog geconfigureerd worden. Daarvoor is de standaard pagina /wp-admin/setup-config.php bedoeld. Via de eenvoudige interface op deze pagina kan de website heel gemakkelijk worden geconfigureerd; zo kun je bijvoorbeeld de databasenaam, de databaselocatie, je gebruikersnaam en je wachtwoord invoeren. Hackers scannen de laatste tijd actief naar deze pagina; in mei en juni alleen al zijn er duizenden scans uitgevoerd.
“Zodra een aanvaller beheerderstoegang tot een WordPress website heeft die op jouw hostingaccount draait, kan hij willekeurige php-code op je hostingaccount uitvoeren,” legt Mark Maunder van securitybedrijf Wordfence uit. Dat maakt het voor de aanvaller ook mogelijk om andere websites over te nemen die vanuit dat account worden gehost.
Hoe een WPSetup aanval in zijn werk gaat
Wanneer je WordPress op je server installeert, moet je als eerst de gewenste taal selecteren. Vervolgens zie je een welkomstboodschap. Daarna wordt je gevraagd om je database naam, gebruikersnaam, wachtwoord en server in te voeren. Maar, dit zijn stappen die veel mensen niet direct na de installatie uitvoeren, en als een hacker jouw nieuwe installatie tegenkomt, kan hij heel eenvoudig door de eerste twee stappen heen klikken en vervolgens zijn eigen database server informatie invoeren. Die database hoeft niet eens data te bevatten – het kan ook gewoon een lege database zijn.
Wanneer ze dat doen, zal WordPress bevestigen dat het met de database kan communiceren – de database van de hacker, in dit geval. Wanneer de hacker op ‘Run the install’ klinkt, wordt hij gevraagd om informatie in te voeren om het eerste admin-level account aan te maken. Hij voert dan zijn eigen accountinformatie in, klikt op de Install knop en ontvangt een bevestiging dat WordPress is geïnstalleerd en dat het admin account is aangemaakt. Zo kan de hacker dus gewoon op jouw WordPress installatie inloggen.
Niet afgeronde WordPress installaties beschermen
Maunder adviseert hostingbedrijven die WordPress-hosting aanbieden om klanten te waarschuwen die hun WordPress website nog niet hebben geconfigureerd.
Wil je voorkomen dat je het slachtoffer wordt van deze WPSetup aanval, dan kun je twee dingen doen:
- Na het installeren DIRECT de installatie stappen doorlopen en voltooien.
- Voor het installeren van WordPress installaties een .htaccess bestand aanmaken met de volgende code:
order deny,allow deny from all allow from <your ip>
Vervang <your ip> door je eigen IP-adres (zie whatsmyip.org).
Deze code zorgt er voor dat alleen jij toegang hebt tot je website tijdens het installeren van WordPress. Zodra je de installatie hebt voltooid, kun je de .htaccess regel weer verwijderen.