Nieuws
image

Aanvallers proberen databasewachtwoord 1,3 miljoen WordPress-sites te stelen

woensdag 3 juni 2020, 17:28 door Redactie, 3 reacties

Aanvallers hebben geprobeerd om via een grootschalige aanval de databasewachtwoorden van 1,3 miljoen WordPress-sites te stelen. Dat stelt securitybedrijf Wordfence op basis van eigen cijfers. De aanvallers maakten misbruik van kwetsbaarheden in verouderde plug-ins en themes waarmee het mogelijk is om WordPress-bestanden te exporteren of downloaden.

Daarbij hadden de aanvallers het specifiek voorzien op het bestand wp-config.php. Dit bestand bevat gevoelige informatie zoals WordPress-databasenaam, gebruikersnaam, wachtwoord en hostnaam. Ook bevat het de WordPress "Authentication Unique Keys and Salts" waarmee het mogelijk is om authenticatiecookies te vervalsen. Met de informatie uit het php-bestand is het mogelijk om volledige controle over de WordPress-site te krijgen.

Volgens Wordfence zijn de aanvallen zichtbaar in de serverlogs van aangevallen WordPress-sites. Daarnaast heeft het securitybedrijf de tien ip-adressen genoemd die voor de meeste aanvallen in deze campagne verantwoordelijk zijn. Om welke plug-ins en themes het gaat is niet bekendgemaakt, maar eerder waarschuwde het securitybedrijf voor actieve aanvallen op een kwetsbaarheid in de Duplicator Plugin waarmee wp-config.php kon worden gestolen. Gebruikers van gecompromitteerde websites krijgen het advies om meteen hun databasewachtwoord en authenticatie keys te wijzigen.

Reacties (3)
03-06-2020, 18:36 door Anoniem
Nu zie ik dagelijks in mijn serverlogs wel pogingen om van alles en nog wat met Wordpress te doen, maar ik mis in de bron even de informatie die echt waardevol is: welk gat is getracht te misbruiken en was er een risico als je up-to-date bent?

wp-config.php toont immers standaard niet zijn inhoud.
03-06-2020, 19:49 door Anoniem
Door Anoniem: Nu zie ik dagelijks in mijn serverlogs wel pogingen om van alles en nog wat met Wordpress te doen, maar ik mis in de bron even de informatie die echt waardevol is: welk gat is getracht te misbruiken en was er een risico als je up-to-date bent?

wp-config.php toont immers standaard niet zijn inhoud.

"De aanvallers maakten misbruik van kwetsbaarheden in verouderde plug-ins en themes waarmee het mogelijk is om WordPress-bestanden te exporteren of downloaden."

....

"Om welke plug-ins en themes het gaat is niet bekendgemaakt, maar eerder waarschuwde het securitybedrijf voor actieve aanvallen op een kwetsbaarheid in de Duplicator Plugin waarmee wp-config.php kon worden gestolen."
04-06-2020, 09:27 door Anoniem
Het wordt aanvallers wel heel erg gemakkelijk gemaakt,
als men user enumeration op "enabled" laat staan i.p.v. op "disabled".

Zie ook https://www.getastra.com/blog/911/wordpress-files-hacked-wp-config-php-hack/
Bron: Shikhil Sharma. "Dorkjes" genoeg over te vinden.

Updaten en patchen dus,

luntrus
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Advertentie
Certified Secure