Een onderzoeker heeft meer dan 1.000 gehackte WordPress blogs ontdekt, die zich via de automatische update-functie blijven besmetten. De aanval op de weblogs begon net voordat Wordpress 3.3.2 uitkwam. Veel bloggers gebruiken de automatische update-functie van de blogsoftware om de nieuwste versie te installeren. Eigenaren van een al gehackt blog die naar de nieuwste versie upgraden, halen naast de upgrade ook nieuwe kwaadaardige code binnen.

Bij de eerste aanval wijzigden de aanvallers verschillende WordPress-bestanden, zoals update.php en wp-settings.php. In deze PHP-code worden links naar kwaadaardige websites geplaatst, die bezoekers van de WordPress blogs met malware proberen te infecteren.

Tijdens het updaten van WordPress worden automatisch nieuwe bestanden gedownload en oude bestanden vervangen. Daarbij wordt ook het aangepaste PHP-bestand vervangen waar de links naar de kwaadaardige websites in staan. Het aangepaste update.php-bestand zorgt er echter voor dat het bijgewerkte blog weer opnieuw wordt geïnfecteerd

Upgrade
"Als je dacht dat een WordPress upgrade malware van je blog kan verwijderen heb je het fout. Als je blog al voor de upgrade geïnfecteerd is en niet volledig schoongemaakt, kan de upgrade opnieuw bestanden infecteren die voor de upgrade nog schoon waren", zegt beveiligingsonderzoeker Denis Sinegubko.

Hij stelt dat WordPress upgrades geen zilveren kogel zijn. "Ze kun alleen je blogveiligheid verbeteren als die voor de upgrade schoon was." De onderzoeker vindt verder dat WordPress een integriteitscontrole aan het systeem moeten toevoegen, dat de kernonderdelen controleert.