image

WordPress-malware kan andere malware verwijderen en sites updaten

vrijdag 8 juni 2018, 15:15 door Redactie, 2 reacties

Onderzoekers hebben malware voor WordPress ontdekt die andere malware kan verwijderen en in staat is om WordPress-sites te updaten. Het doel van de malware is om spamcontent op de website van het slachtoffer te plaatsen die bezoekers vervolgens doorstuurt naar de website van een partner. Alle aankopen die op deze website worden gedaan genereren inkomsten voor de aanvaller.

De malware beschikt over allerlei features om detectie te voorkomen en de website goed te laten werken, zodat de eigenaar niets doorheeft. Zo kan de malware andere malware verwijderen, de WordPress-site updaten, upgraden of repareren en meerdere backdoors toevoegen. "Het idee hierachter is eenvoudig: Een goede parasiet wil de gastheer in leven houden. Als alles werkt kan het lang duren voordat de eigenaar van een getroffen site weet dat er iets mis is", zegt Mikey Veenstra van securitybedrijf Defiant. Hoe de malware WordPress-sites precies infecteert wordt niet gemeld. Wel melden de onderzoekers dat de malware naar andere websites kan zoeken om daar de "infectieroutine" uit te voeren.

Reacties (2)
09-06-2018, 12:50 door Anoniem
WordPress is zo open source als open source kan zijn. Want het is allemaal leesbare PHP, MySQL, javascript en CSS. Dat maakt het natuurlijk ook open voor mensen die er kunstjes mee uit willen halen natuurlijk. Maar tegelijk ook open voor anderen die daar weer wat tegen kunnen doen.

Wat wél nog vaak gebeurt, als je bij een plugin of thema support koopt (allemaal niet echt duur trouwens), en je hebt wat aan de hand, dat men nog snel geneigd is om een admin én ftp toegang te vragen. Dat kan natuurlijk helemaal niet meer met de GDPR. Mijn oplossing is overigens dat ik dan even een subdomein aanmaak, met een identieke installatie, maar wel met een lege database. Je moet daar wel je domein "wildcard" voor gepoint hebben, en natuurlijk een nieuwe site kunnen aanmaken. Inj mijn geval provider ik mezelf. Ubuntu server, ISPconfig erop (allemaal graties), dus ik kan sites aanmaken zoveel als ik wil. Er zijn ook andere oplossingen. Er zijn ook handige plugins, of het kan ook gewoon met .htaccess om zo een test site weer met een password te beschermen. Zodat alleen de support mensen erbij kunnen en google niet gelijk alles gaat indexeren.

Verder zijn er al goede plugins om je security te scannen. Sucuri is er zo eentje.

Ik ben niet echt on-blij met wordpress.

Wat blijft is natuurlijk regelmatig je site controleren op rare dingen. En goeie backups bijhouden. Ik kan plugins updaten wat ik wil, en gaat er wat mis, met 1 klik in ISPconfig zet ik alles van gisteren terug. Of eergisteren. Enkel de web directory, of enkel de database, of alletwee. Als ik eens een hik heb, verlies ik meestal geen laatste records meer in de database. Daarnaast, als je alles zelf moet ontwikkelen en bijhouden, en je hebt dat een slimbo die je hackt of een achterdeurtje weet, dan kan het je erger bijten. Zolang je niet door hebt wat er precies gebeurd is.
09-06-2018, 19:25 door Anoniem
Ja, nog even wat over de configuratie, weten velen niet,
zet a.u.b. "user enumeration" uit en "directory listing" ook op disabled
en check vervolgens op afvoerbare jQuery bibliotheken.

Kernel-software wordt regelmatig door de developers aan de tand gevoeld,
zorg wel voor de laatste versie van de thema's en de plug-ins
en voer verlaten of verouderde thema/plug-in code af.
Want van alles wat je verwerft, moet je later weer af.
Er is namelijk niets zo fnuikend voor security als excessieve info proliferatie,
weet een aanvaller op je site van de hoed en de rand, heb je zo je k*ntje gebrand.

Check hier: https://hackertarget.com/wordpress-security-scan/ voor een zogeheten "quick and dirty" of iets diepgaander als je site eigenaar bent.
Check de retirable jQuery bibliotheken voor je website hier: http://retire.insecurity.today/#
Scan ook hier: https://urlscan.io/ en hier https://observatory.mozilla.org/

Doei,

luntrus, a.k.a. de scan tijger
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.