Onderzoekers hebben op 25.000 WordPress ruim 47.000 malafide plug-ins aangetroffen die aanvallers onder andere volledige controle over de website geven. 94 procent van de malafide plug-ins die over een periode van acht jaar werd gevonden is vandaag de dag nog steeds op de betreffende WordPress-sites actief. Dat stellen onderzoekes van het Georgia Institute of Technology (pdf).
Voor het onderzoek werden van 2012 tot en met 2020 WordPress-sites op meer dan vierhonderdduizend webservers geanalyseerd. Het gaat om webservers van back-upprovider CodeGuard die aan het onderzoek meewerkte. WordPress biedt gebruikers een groot aantal plug-ins en themes voor de ontwikkeling van hun website.
Er is een hele industrie ontstaan van themes- en plug-in-ontwikkelaars die zowel gratis als betaalde producten aanbieden. Betaalde plug-ins worden ook "gratis" op internet aangeboden, maar zijn dan geregeld van malware voorzien. Ook komt het voor dat aanvallers zelf malafide plug-ins aanbieden die door nietsvermoeden gebruikers worden geïnstalleerd. Zo vonden de onderzoekers 3700 malafide plug-ins die op legitieme marktplaatsen werden verkocht.
In totaal troffen de onderzoekers in de dataset ruim 47.000 malafide plug-ins op 25.000 WordPress-sites aan, waarvan 94 procent nog altijd actief is. Het ging onder andere om webshells en backdoors waarmee de aanvallers toegang tot de gecompromitteerde website behouden, maar ook plug-ins voor het tonen van malafide advertenties en doorsturen van bezoekers naar malafide websites. Ook komt het voor dat een malafide plug-in andere geïnstalleerde plug-ins infecteert.
Verder stellen de onderzoekers dat slechts tien procent van de webmasters heeft geprobeerd om de malafide plug-ins te verwijderen, en daarvan werd 12,5 procent opnieuw geïnfecteerd. De onderzoekers presenteerden hun bevindingen eerder deze maand tijdens het USENIX Security Symposium in Boston.
Deze posting is gelocked. Reageren is niet meer mogelijk.