image

700 WordPress-sites gehackt via kwetsbaarheid in GDPR-plug-in

woensdag 14 november 2018, 13:42 door Redactie, 4 reacties

Het afgelopen weekend zijn zo'n 700 WordPress-sites gehackt via een kwetsbaarheid in de WordPress GDPR Compliance-plug-in. Via het beveiligingslek kunnen aanvallers adminaccounts en backdoors aan websites toevoegen. Nadat aanvallers toegang hadden gekregen wijzigden ze de site url van deze gehackte WordPress-sites naar een ander domein.

De site url laat WordPress weten waar de website zich bevindt. Door de aanpassing wordt er kwaadaardige content op de gehackte WordPress-sites geladen. Bij de aanval van dit weekend was het ingestelde domein echter offline, waardoor het lang duurde voordat de gehackte WordPress-sites konden worden geladen en leek de website kapot, aangezien er geen content van het opgegeven domein beschikbaar was. Dat laat securitybedrijf Sucuri weten. De beveiliger ontdekte via de eigen scanner zo'n 700 gehackte websites, maar het werkelijke aantal kan veel hoger liggen. De WordPress GDPR Compliance-plug-in is op meer dan 100.000 websites geïnstalleerd.

Bij verschillende van de getroffen websites is de site url inmiddels aangepast. Er wordt een script van PasteBin geladen dat gebruikers doorstuurt naar een zogeheten "tech support scam". De scamsite laat bezoekers weten dat er een probleem met hun computer is en ze het opgegeven telefoonnummer moeten bellen. Het telefoonnummer is van oplichters die toegang tot de computer van het slachtoffer proberen te krijgen en uiteindelijk geld vragen voor het oplossen van het niet bestaande probleem. Het script op Pastebin is inmiddels meer dan 2 miljoen keer geladen.

De GDPR Compliance-plug-in wordt via WordPress.org aangeboden. Tal van gebruikers laten in recensies weten dat hun websites via de kwetsbaarheid zijn gehackt. De ontwikkelaars melden op hun eigen website dat alle WordPress-sites die van de plug-in gebruikmaken en niet meteen de beveiligingsupdate hebben geïnstalleerd moeten controleren of ze gehackt zijn. Eventueel onbekende adminaccounts moeten worden verwijderd. Verder wordt geadviseerd om een complete back-up van de website van voor 6 november 2018 terug te zetten en daarna meteen de update te installeren.

Reacties (4)
14-11-2018, 17:38 door karma4
De geoonlijke kop zou moeten 100.000 WordPress sites gecompromitteerd. Omdat onbekend is of ze gehacked zijn dd aanname dat de hack heeft plaatsgevonden.
14-11-2018, 18:00 door Anoniem
Oei. Ik krijg net email dat er een update is voor het thema dat ik gebruik.

Inmiddels wel geleerd hoe je daar mee om moet gaan binnen Wordpress. Je moet het zien als grotendeels een legertje kindsoldaatjes. Met een vette kalashnikov nog.

Het is dan niet altijd handig daar op af te hollen met een knuffeltje en een snoepje omdat het kinderen zijn. Want in de andere hand hebben ze die kalashnikov nog.

Voorzichtig benaderen.

Change log. Ja, natuurlijk weer niet bijgewerkt. Even op een veilige plek een recursief diff-je doen dan maar. Kijken wat ze dan veranderd hebben. Ook vaak lastig. Want dan hebben ze spaties voor alle punt komma's gezet omdat dat voor hun mooier lezen is.

Beetje greppen ook op http, wget en curl. Of er geen rare uitstapjes worden gemaakt naar rare servers ineens.

Complete dump van de actuele site dan maar, alles veilig op de server thuis. Daar eerst opdaten en testen. De fout zit namelijk altijd waar je normaal zelden kijkt. En waar het ineens vloekt met die al twee jaar super stabiele plugin die je ook nog had.

De jeugd heeft de toekomst zullen we maar denken.

En ik heb mazzel. Er is weer eens een update!
16-11-2018, 10:06 door fvandillen
Door Anoniem: Oei. Ik krijg net email dat er een update is voor het thema dat ik gebruik.

Inmiddels wel geleerd hoe je daar mee om moet gaan binnen Wordpress. Je moet het zien als grotendeels een legertje kindsoldaatjes. Met een vette kalashnikov nog.

Het is dan niet altijd handig daar op af te hollen met een knuffeltje en een snoepje omdat het kinderen zijn. Want in de andere hand hebben ze die kalashnikov nog.

Voorzichtig benaderen.

Change log. Ja, natuurlijk weer niet bijgewerkt. Even op een veilige plek een recursief diff-je doen dan maar. Kijken wat ze dan veranderd hebben. Ook vaak lastig. Want dan hebben ze spaties voor alle punt komma's gezet omdat dat voor hun mooier lezen is.

Beetje greppen ook op http, wget en curl. Of er geen rare uitstapjes worden gemaakt naar rare servers ineens.

Complete dump van de actuele site dan maar, alles veilig op de server thuis. Daar eerst opdaten en testen. De fout zit namelijk altijd waar je normaal zelden kijkt. En waar het ineens vloekt met die al twee jaar super stabiele plugin die je ook nog had.

De jeugd heeft de toekomst zullen we maar denken.

En ik heb mazzel. Er is weer eens een update!

Of je stopt WP gewoon in Git?
29-12-2018, 18:53 door Anoniem
Ja, ik kreeg ook een e-mail over dat de GDPR plugin die ik gebruik een beveiligingslek bevat. Ik was niet bewust van dat en mijn plugins zijn niet bijgewerkt voor een tijdje.
Het was een nachtmerrie dat mijn website nu kwetsbaar is. Vervolgens ik gecontacteerd Securi en gezocht sommige uiteinden van de veiligheid WordPress mijn site vergrendelen en voorkomen dat hackers. Gelukkig vond ik deze geweldige tutorial op Google, het is zeer diepgaand. https://www.wpmyweb.com/WordPress/WordPress-Security.html

Na dat desinstalleerde ik de GDPR plugin. Ik hoop dat ik veilig genoeg nu.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.