Beveiligingsbedrijf Doctor Web heeft een kwaadaardig Linux-programma ontdekt dat zich richt op WordPress-sites met verouderde en kwetsbare plug-ins en thema's. De malware is ontworpen om dertig thema- en plug-in-kwetsbaarheden te misbruiken om kwaadaardig JavaScript in websites te injecteren en bezoekers om te leiden naar de door de aanvaller gekozen website. Het is al meer dan drie jaar actief en is bijgewerkt om extra kwetsbaarheden aan te pakken.
De malware richt zich op 32-bits versies van Linux, maar kan ook op 64-bits versies draaien. Er zijn twee versies van de malware: Linux.BackDoor.WordPressExploit.1 en Linux.BackDoor.WordPressExploit.2 . Deze laatste bevat een bijgewerkt serveradres voor het verspreiden van het kwaadaardige JavaScript en een uitgebreide lijst met misbruikte kwetsbaarheden. Het rapport van Doctor Web speculeert dat aanvallers mogelijk een langetermijnplan hebben om beheerderstoegang te behouden, zelfs nadat gebruikers zijn bijgewerkt naar nieuwere, gepatchte versies van de aangetaste plug-ins.
Doctor Web heeft een document vrijgegeven met indicatoren van compromissen voor de Linux-backdoor-malware die WordPress-websites infecteert. Het document bevat hashes, IP-adressen en domeinen die door de malware bij zijn aanvallen worden gebruikt. Beveiligingsprofessionals en WordPress-beheerders kunnen deze informatie gebruiken om verdere infecties te detecteren en te voorkomen.
Om zich tegen deze dreiging te beschermen, is het essentieel dat WordPress-gebruikers hun thema’s en plug-ins up-to-date houden en sterke, unieke wachtwoorden gebruiken. Het is ook een goed idee om een webapplicatie-firewall te gebruiken en regelmatig te scannen op malware.
Als u vermoedt dat uw WordPress-site is gehackt, is het essentieel om onmiddellijk actie te ondernemen om deze te beveiligen en verdere schade te voorkomen. Dit kan het herstellen van de site vanaf een back-up en het installeren van beveiligingsmaatregelen om toekomstige aanvallen te voorkomen.
