Aanvallers scannen op internet actief naar nog niet afgeronde WordPress-installaties om die vervolgens eenvoudig over te nemen. Na de installatie van WordPress op een server moet de website zelf nog worden geconfigureerd. Hiervoor is er de standaardpagina /wp-admin/setup-config.php.
De aanwezigheid van deze pagina wil zeggen dat de website nog niet is geconfigureerd. De aanvallers scannen dan ook actief naar deze specifieke pagina. In mei en juni ging het om duizenden scans. Via setup-config.php kan de website middels een eenvoudige interface worden geconfigureerd. Zo kunnen de databasenaam, databaselocatie, gebruikersnaam en wachtwoord worden opgegeven.
"Zodra een aanvaller beheerderstoegang tot een WordPress-website heeft die op jouw hostingaccount draait, kan hij willekeurige php-code op je hostingaccount uitvoeren", zegt Mark Maunder van securitybedrijf Wordfence. Zodoende is het mogelijk om ook andere websites over te nemen die vanuit het account worden gehost. Maunder adviseert hostingbedrijven die WordPress-hosting aanbieden dan ook om klanten te waarschuwen die hun WordPress-site nog niet hebben geconfigureerd.
Deze posting is gelocked. Reageren is niet meer mogelijk.