Vorige week zorgde een grootschalige aanvalsgolf voor opschudding met 130 miljoen pogingen op 1,3 miljoen WordPress-websites in slechts één weekend. De hackers maakten gebruik van on-gepatchete kwetsbaarheden in plug-ins en thema’s van het populaire contentmanagementsysteem.

De cybercriminelen slaagden erin om de inloggegevens voor de WordPress-database uit de configuratiebestanden (wp-config.php) te halen en namen zo de controle over. Naast de inloggegevens voor de database zijn daar ook authenticatiesleutels te vinden.

Tweede aanvalsgolf

Eind april was er al een grote aanval op WordPress-gebaseerde websites. Met zogenaamde XSS-aanvallen probeerden cybercriminelen bekende – maar oude – zwakheden in plug-ins uit te buiten. Uit analyse blijkt dat bij deze aanval dezelfde IP-adressen worden gebruikt als toentertijd. Het is duidelijk dat dezelfde groep hackers uit de cross-site scripting opnieuw heeft toegeslagen. Het blokkeren van deze IP-adressen is nauwelijks mogelijk vanwege het hoge aantal van ongeveer 24.000 betrokken IP-adressen.

Controleer of uw website betrokken is

Met het serverlogboek kunnen beheerders van WordPress-pagina’s bepalen of hun pagina’s zijn gehackt. Als de vraag naar invoer met “wp-config.php” de antwoordcode “200” oplevert, heeft dit gevolgen voor de pagina. In dit geval moeten de wachtwoorden van alle databases onmiddellijk worden gewijzigd en moeten alle authenticatiesleutels worden uitgewisseld.

Patch, patch, patch…

…is nog altijd de beste preventieve maatregel. Het feit dat bekende kwetsbaarheden worden gekozen als toegangspoort tot WordPress-pagina’s is een “klassieker”. Het merendeel van alle waargenomen aanvallen is gericht op veiligheidslekken die al maanden of zelfs jaren bekend zijn en die niet gepatcht zijn. Daarom moeten websitebeheerders altijd alle plug-ins updaten en alle plug-ins die uit de WordPress plug-in repository zijn verwijderd, verwijderen.