Duizenden gehackte WordPress-sites verspreiden malware
Aanvallers zijn erin geslaagd om duizenden WordPress-sites te hacken en te gebruiken voor het verspreiden van malware, waaronder de website van een Amerikaans beveiligingsbedrijf. Daarvoor waarschuwt beveiligingsbedrijf Sucuri. Het zou inmiddels om zo´n 6.000 besmette sites gaan.
De aanvallen op de WordPress-websites begonnen twee weken geleden. Op de gehackte sites wordt code geplaatst die bezoekers ongemerkt een pagina met de Nuclear-exploitkit laat laden. Deze exploitkit maakt onder andere gebruik van bekende beveiligingslekken in Adobe Flash Player en Internet Explorer die niet door gebruikers zijn gepatcht. Onder de gehackte WordPress-websites bevindt zich onder andere de website van Coverity, een bedrijf dat zich met de veiligheid van software bezighoudt.
Hoe de aanvallers toegang tot de WordPress-sites weten te krijgen is nog niet vastgesteld, maar de aanvallers lijken van beveiligingslekken in WordPress-plug-ins gebruik te maken. Niet alleen vergeten eigenaren van WordPress massaal de software van hun website te updaten, ook updates voor geïnstalleerde plug-ins worden vergeten. Volgens cijfers van W3Techs wordt WordPress door 24,4% van alle websites op internet gebruikt.
Als je het artikel goed leest ligt het bijna altijd aan de gebruiker... Ontwikkelaars dienen tevens hun klanten beter te informeren of moeten tools aanbieden waarbij hun WP systemen bijgehouden worden mbt updates.. Denk hierbij bijv. aan Plesk, ze hebben een gratis 'WP update' add-on beschikbaar.
Daarbij zijn er ook genoeg 'hobby' WP site bouwers die 10+ plugins installeren die allemaal maar 1 ding doen.. Kom ze vaak genoeg tegen.. Dit zorgt dan weer voor mogelijk conflicten, dagelijkse updates en het komt de performance ook niet ten goede. Daarbij mogelijk security problemen door plugin conflicten..
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
