Meer dan 2.000 WordPress sites zouden gehackt zijn als gevolg van kwetsbaarheden in ten minste twee plugins. Het blijkt om een scam campagne te gaan. Dat meldde het beveiligingsbedrijf Sucuri afgelopen week in een blogpost op hun website.
Kwetsbaarheden in WordPress plugins
De WordPress sites zouden zijn gehackt als onderdeel van een scam campagne die website bezoekers doorverwijst naar malafide websites met ongewenste nieuwsbrieven, neppe enquêtes, giveaways en zelfs neppe Adobe Flash downloads. Volgens Sucuri’s Luke Heal zijn de kwetsbaarheden aangetroffen in de CP Contact Form with PayPal plugin en de inmiddels niet meer beschikbaar zijnde Simple Fields plugin. Hij sluit echter niet uit dat er ook andere WordPress plugins gebruikt zijn voor de scam campagne.
Malafide websites
Wanneer hackers misbruik maken van de kwetsbaarheden, kunnen ze JavaScripts injecteren die weer scripts laden van malafide websites. Deze worden in het index.php bestand van het website thema geplaatst. Op het moment dat een bezoeker zonder admin rechten een gehackte site bezoekt, worden er meerdere redirects getriggerd die de bezoeker doorverwijzen naar die malafide websites. Daar krijgt hij vervolgens een melding te zien dat hij zich moet aanmelden om verder te gaan. Sucuri heeft tot dusver twee malafide domeinen weten te identificeren: gotosecond2[.]com en adsformarket[.]com. Ze verwachten dat de hackers nieuwe domeinnamen zullen registreren of bestaande ongebruikte domeinnamen zullen misbruiken.
Sucuri heeft ook ontdekt dat de hackers die achter deze scam campagne zitten, neppe plugin directories hebben aangemaakt. Deze worden gebruikt om extra malware naar de getroffen websites te uploaden. Daardoor kunnen ze ook misbruik maken van /wp-admin/ features.
Meer weten over deze scam campagne?
Wil je controleren of jouw WordPress website slachtoffer is geworden van deze scam campagne? Dan kun je de gratis SiteCheck tool van Sucuri gebruiken om je site op malafide content te scannen.
Mocht je overigens nog gebruik maken van de verouderde Simple Fields plugin, dan adviseren we je om deze onmiddellijk te verwijderen. Een WordPress plugin verwijderen doe je zo!