Bug in plug-in tast miljoenen WordPress-sites aan

Afgelopen week werden miljoenen WordPress sites onderzocht en aangevallen. Dit komt door een fout in File Manager, een populaire plugin die geïnstalleerd is op meer dan 700.000 websites. 

De plotselinge piek in aanvallen gebeurde nadat hackers een zero-day kwetsbaarheid in File Manager, een populaire WordPress plugin, ontdekten. Door de zero-day konden hackers boosaardige bestanden uploaden naar sites waarop een oudere versie van de File Manager plugin. Het is nog onduidelijk hoe hackers de zero-day ontdekten, maar sinds begin vorige week begonnen ze met het onderzoeken van sites waar de plugin mogelijk op was geïnstalleerd. 

Als een onderzoek slaagde, maakten hackers misbruik van de zero-day door een web shell verstopt als een afbeelding te uploaden naar de server van een slachtoffer. De aanvallers konden de web shell vervolgens gebruiken om de website van een slachtoffer over te nemen en toe te voegen aan een botnet.

Miljoenen sites zijn slachtoffer van aanvallen

“Het aantal aanvallen tegen de kwetsbaarheid is de afgelopen dagen gigantisch toegenomen”, zegt Ram Gall, bedreiging analist bij Defiant, het bedrijf achter de Wordfence web firewall. De aanvallen begonnen langzaam, maar namen gedurende week in rap tempo toe. Alleen al op vrijdag 4 september werden meer dan een miljoen WordPress sites aangevallen. 

Volgens Gall blokkeerde Defiant aanvallen tegen meer dan 1,7 miljoen websites sinds 1 september. Op die dag werden de aanvallen voor het eerst ontdekt. Dit aantal houdt in dat meer dan de helft van de Wordfence-gebruikers te maken kreeg met een scan of aanval. Volgens Gall is de werkelijke schaal van de aanvallen nog veel groter. WordPress kent miljoenen gebruikers, welke allemaal een potentieel doelwit zijn.

Hoe je jezelf kunt beschermen tegen de aanval

Er is gelukkig ook goed nieuws. Het team van File Manager bracht nog op dezelfde dag dat de zero-day aan het licht kwam een patch uit om de fout op te lossen. Sommige website-eigenaren hebben de patch al geïnstalleerd. Zoals altijd lopen veel gebruikers nog achter.

Omdat veel WordPress-gebruikers wat langzaam kunnen zijn met het installeren van updates, lanceerde WordPress kortgeleden de auto-update functie voor thema’s en plugins. Sinds de komst van WordPress 5.5 afgelopen maand kunnen gebruikers instellen dat hun plugins en thema’s toekomstige updates automatisch installeren. Zo zorgen ze dat hun website altijd draait op de nieuwste versie van een thema of plugin en beschermen ze zichzelf tegen aanvallen.

Tip: WordPress gaat verouderde versies geforceerd automatisch updaten