Gisteravond kregen we een e-mail van een vriend waarin hij zei dat hij een aantal nieuwe gebruikers met beheerdersrechten had gevonden op een aantal van zijn WordPress-websites en ons vroeg om er eens naar te kijken.
We zijn het gaan onderzoeken en het lijkt erop dat de websites één ding gemeen hadden: de WP GDPR Compliance- plug-in.
Het lijkt erop dat er een kwetsbaarheid in de plug-in en dat er een reeks aanvallen is geweest op sites die deze plug-in gebruiken.
Er zijn verschillende stadia van infectie:
- beheerdersgebruikers worden aangemaakt
- bestanden zijn gewijzigd
- doorverwijzing naar Russische website
onlangs nieuwe gebruikers met de naam “ t3trollherten ”, “ t2trollherten ” of “ trollherten
Nadat de gebruikers waren aangemaakt, pasten de aanvallers de bestanden van andere PHP-scripts (plug-ins) aan. We vonden bijvoorbeeld aangepaste PHP-bestanden in de Akismet-plug-inmap.
Op sommige websites vonden we deze Pastebin-URL in wp_options op siteurl.
https://pastebin.com/raw/V8SVyu2P?Op dit punt begint de website kapot te gaan, krijgt u databaseverbindingsfouten of wordt uw website omgeleid naar een andere site, soms Russisch.
Hoe te herstellen van de hack
Als er geen gebruikers zijn, zou alles goed moeten zijn, uw website is waarschijnlijk niet aangevallen.
Om te voorkomen dat dit gebeurt, updatet u de WP GDPR Compliance-plug-in naar de nieuwste versie, de ontwikkelaars hebben het probleem opgelost
Houd idealiter alle WordPress-plug-ins en thema's up-to-date om mogelijke beveiligingsproblemen zoals deze te voorkomen.
Als u deze gebruikers vindt, bestaat de kans dat ze de site niet hebben geïnfecteerd, maar u weet het niet zeker. Het is dus waarschijnlijk het beste om de site te herstellen vanaf een back-up en vervolgens de WP GDPR Compliance-plug-in bij te werken.
Als u een beveiligingsplug-in zoals Defender Pro heeft, scan dan ook uw WordPress-instantie om te zien of deze schoon is.
Als u niet kunt herstellen of als u geen back-up heeft, moet u de website handmatig opschonen:
- verwijder de kwaadwillende gebruikers uit de database
- verwijder alle PHP- en JS-bestanden (bewaar alleen wp-content/uploads)
- installeer WordPress en de thema's en plug-ins die u gebruikt opnieuw
Als je deze situaties wilt vermijden, overweeg dan om over te stappen van shared hosting naar een deskundige WordPress-hosting. Geen van onze beheerde WordPress-hostingklanten werd getroffen; alle getroffen websites stonden op gedeelde hosting.
Om niet te zeggen dat dit door de hosting komt, maar bij managed hosting krijgt u proactieve monitoring en beheerde updates en kunt u dit soort situaties vermijden.
Toen we ontdekten wat er aan de hand was, hebben we de plug-in op de websites van onze klanten die de kwetsbare versie hadden, onmiddellijk bijgewerkt en een geautomatiseerde scan uitgevoerd.
We hebben ook klanten die bij ons hosten, maar we beheren hun websites niet, we hebben geen toegang tot hun WordPress-instanties.
Daarom doorzoeken we de server om de map wp-gdpr-compliance te vinden om de clients te identificeren die de plug-in hebben gebruikt. We hebben ze een e-mail gestuurd, waarin we het beveiligingsprobleem hebben gemeld, met instructies over hoe we kunnen controleren of hun websites zijn gehackt.
Heeft u ook hulp nodig, neem dan gerust contact met ons op.
Laat een reactie achter