WordPress heeft maatregelen getroffen tegen supply chain-aanvallen. Dit type aanvallen deden de ronde via updates van plug-ins waarbij hackers kwaadaardige code aan de plug-in toevoegden.
Sinds afgelopen weekend pauzeert WordPress alle updates voor plug-ins. De updates worden pas opnieuw actief als de maker van de plug-in zich opnieuw aanmeldt, met een nieuw wachtwoord.
Supply chain-aanvallen stoppen
De maatregelen waren nodig om aanhoudende supply chain-aanvallen een halt toe te roepen. In deze aanvallen misbruikten hackers logingegevens die in eerdere datalekken werden buitgemaakt en vaak online vindbaar waren. Deze datalekken waren dan niet gerelateerd aan WordPress, maar hackers konden inloggen op WordPress-omgevingen van gebruikers die dezelfde wachtwoorden gebruikten op verschillende websites.
Na het inloggen konden hackers kwaadaardige code aan de plug-ins toevoegen. Deze code verspreidde zich via updates naar alle gebuikers van de plug-ins.
In april berichtte onderzoekers nog over een kwetsbaarheid in de Forminator plug-in voor webformulieren. Door de kwetsbaarheid zouden honderdduizenden websites kwetsbaar zijn. Het gaat dan om een kwetsbaarheid die een relatief laag aantal websites kan treffen. In januari bleek de Better Search Replace-plug-in onveilig, die werd wereldwijd op meer dan één miljoen websites geïnstalleerd.
Wachtwoord opnieuw instellen
Van gebruikers die opnieuw moeten inloggen, vonden beveiligingsonderzoekers van WordPress de inloggegevens online. Het content management systeem (CMS) geeft verder aan dat aan gebruikers die geen plug-ins creëerden ook gevraagd kan worden opnieuw in te loggen, als wachtwoorden gelekt bleken. “U ontvangt een e-mail van de Plugin Directory wanneer het tijd is om uw wachtwoord opnieuw in te stellen. U hoeft geen actie te ondernemen voordat u een melding ontvangt.”
Lees ook: WordPress plug-in voor webformulieren bevat kritieke kwetsbaarheid