Beveiligingsbedrijf Doctor Web heeft een kwaadaardig Linux-programma ontdekt dat zich richt op WordPress-sites die gebruikmaken van verouderde en kwetsbare plugins en thema's. De malware is ontworpen om 30 kwetsbaarheden in thema's en plugins te misbruiken om kwaadaardige JavaScript in websites te injecteren, waardoor bezoekers worden doorgestuurd naar een door de aanvaller gekozen website. Het programma is al meer dan drie jaar actief en is bijgewerkt om zich op nieuwe kwetsbaarheden te richten.
De malware is gericht op 32-bits versies van Linux, maar kan ook op 64-bits versies draaien. Er zijn twee versies van de malware: Linux.BackDoor.WordPressExploit.1 en Linux.BackDoor.WordPressExploit.2 . De laatstgenoemde bevat een bijgewerkt serveradres voor de verspreiding van de kwaadaardige JavaScript-code en een uitgebreidere lijst met misbruikte kwetsbaarheden. Het rapport van Doctor Web speculeert dat de aanvallers mogelijk een langetermijnplan hebben om beheerdersrechten te behouden, zelfs nadat gebruikers hebben geüpdatet naar nieuwere, gepatchte versies van de gecompromitteerde plug-ins.
Doctor Web heeft een document gepubliceerd met indicatoren van een inbreuk op de Linux-backdoormalware die WordPress-websites infecteert. Het document bevat hashes, IP-adressen en domeinen die de malware gebruikt bij zijn aanvallen. Beveiligingsprofessionals en WordPress-beheerders kunnen deze informatie gebruiken om infecties te detecteren en te voorkomen.
Om zich tegen deze dreiging te beschermen, is het essentieel dat WordPress-gebruikers hun thema's en plug-ins up-to-date houden en sterke, unieke wachtwoorden gebruiken. Het is ook raadzaam om een webapplicatiefirewall te gebruiken en regelmatig te scannen op malware.
Als je vermoedt dat je WordPress-site is gehackt, is het essentieel om direct actie te ondernemen om deze te beveiligen en verdere schade te voorkomen. Dit kan onder meer inhouden dat je de site herstelt vanuit een back-up en beveiligingsmaatregelen installeert om toekomstige aanvallen te voorkomen.
