Hackers hebben afgelopen week bij 1,7 miljoen WordPress-websites geprobeerd om in te breken. De populaire plugin File Manager bevatte een kwetsbaarheid waardoor het mogelijk was om malafide bestanden naar een site te uploaden. Een patch is inmiddels beschikbaar, maar nog niet iedereen heeft deze geïnstalleerd. Dat schrijft beveiligingsbedrijf Defiant.
In de beginjaren van het internet waren het IT-nerds, programmeurs en computerspecialisten die blogs en websites online zetten. Alleen een select groepje dat verstand had van programmeren, was in staat om dat te doen. De komst van contentmanagementsystemen (CMS) veranderde alles. Tegenwoordig kan iedereen met een paar klikken zijn eigen site lanceren. Technische voorkennis van computers en programmeertalen zijn niet langer noodzakelijk.
Joomla!, Drupal, Magento, TYPO3, Smartsite: vandaag de dag zijn er vele gratis en betaalde CMS-systemen op de markt. Verreweg de grootste en meest bekende is WordPress. Naar schatting draaien meer dan 75 miljoen websites op dit CMS. In de begindagen was WordPress geliefd bij bloggers. Tegenwoordig is het CMS zo veelzijdig dat je er volwaardige sites mee kunt maken, uiteenlopend van een portfolio tot nieuwssite.
Wat WordPress zo geliefd maakt bij webdesigners, is dat je in een handomdraai extra functionaliteiten aan een site kunt toevoegen. Het enige dat je daarvoor hoeft te doen, is de juiste plugin te zoeken. Een gastenboek, blog of forum op je site plaatsen? Een flitsende fotogalerij instellen? Of spam buiten de deur houden? Overal is wel een plugin voor. Voor WordPress zijn er een kleine 60.000 plugins beschikbaar.
Een populaire en veelgebruikte plugin is File Manager. Daarmee pas je in een handomdraai bestanden aan in de backend van WordPress, zonder dat je hiervoor een FTP-programma nodig hebt. Volgens de WordPress plugin-database is deze plugin meer dan 600.000 keer geïnstalleerd.
Defiant constateerde afgelopen vrijdag een piek in het aantal inbraakpogingen op WordPress-websites. Alleen die dag werden één miljoen WordPress-sites aangevallen door hackers. De oorzaak daarvan was een zero-day exploit in de plugin File Manager. Een zero-day exploit is een aanval die wordt uitgevoerd op de dag dat hij wordt ontdekt in de software en er nog geen patch beschikbaar is.
Door het beveiligingslek in File Manager konden cybercriminelen kwaadaardige bestanden uploaden naar de backend van een website. Op deze manier is het mogelijk om een site over te nemen en de eigenaar uit te sluiten. Om weer toegang te krijgen tot zijn site, moet de eigenaar de dader losgeld betalen. Het is een methode die in het verleden veel slachtoffers heeft gemaakt.
Hoe de hackers deze exploit hebben ontdekt, is volgens Defiant een raadsel. Wel weet het beveiligingsbedrijf dat er sinds dinsdag 1 september meer dan 1,7 miljoen websites op deze manier zijn aangevallen. De Wordfence firewall van Defiant wist deze inbraakpogingen te verijdelen. Volgens het beveiligingsbedrijf zijn er in werkelijkheid veel meer sites aangevallen. Een exact aantal kan ze niet noemen, omdat lang niet alle WordPress-sites gebruikmaken van Wordfence.
Zodra Defiant lucht kreeg van de zero-day exploit, heeft ze direct de maker van de File Manager plugin op de hoogte gesteld. Hij heeft diezelfde dag nog een patch gemaakt. Een groot deel van de gebruikers heeft deze patch inmiddels geïnstalleerd. Een onbekend aantal site-eigenaren is daar nog niet aan toegekomen en blijft dus kwetsbaar voor digitale inbraakpogingen.
De meest recente versie van File Manager is versie 6.9. Heb je een oudere versie, dan doe je er verstandig aan om deze direct up-to-date te brengen. Sinds de komst van WordPress-versie 5.5, die afgelopen maand werd gelanceerd, is het mogelijk om updates van plugins, widgets en thema’s automatisch te installeren. Dan hoef je hier niet langer naar om te kijken.
