In de afgelopen maanden zijn duizenden WordPress-websites wereldwijd het doelwit geworden van een grootschalige malwarecampagne. Aanvallers hebben de sites geïnfecteerd met malafide code die bezoekers misleidt met nep-updates voor de Google Chrome-browser. In werkelijkheid gaat het om zogeheten ‘infostealers’, kwaadaardige software die inloggegevens, wachtwoorden en andere gevoelige informatie van gebruikers probeert te stelen. Dit blijkt uit een recente analyse van het securityteam van hostingbedrijf GoDaddy.
6.000 WordPress-sites besmet met schadelijke plug-ins
De onderzoekers ontdekten dat meer dan zesduizend WordPress-websites wereldwijd zijn geïnfecteerd. Deze besmettingen zijn mogelijk gemaakt door gestolen inloggegevens van de beheerders, waardoor aanvallers toegang kregen tot de sites. Eenmaal binnen voegden de aanvallers kwaadaardige plug-ins toe die, hoewel ze voor beheerders legitiem lijken, schadelijke functionaliteiten bevatten. Deze plug-ins detecteren welke browser bezoekers gebruiken en tonen vervolgens een pop-up met de melding dat er een nieuwe versie van de browser beschikbaar is.
Nep-update leidt tot malware-infectie
De pop-up waarschuwt bezoekers voor een nieuwe versie van Google Chrome en suggereert dat ze de “update” moeten installeren. Zodra gebruikers hierop ingaan, wordt hun systeem besmet met malware die gericht is op het verzamelen van inloggegevens en andere gevoelige informatie. Beveiligingsexperts vermoeden dat deze aanvalsmethode niet alleen bezoekers treft, maar mogelijk ook de inloggegevens van WordPress-beheerders heeft verkregen, waardoor aanvallers nog meer websites kunnen compromitteren.
Steeds verfijndere aanvallen sinds augustus
Volgens het securityteam van GoDaddy werden sinds augustus vorig jaar al meer dan 25.000 WordPress-sites getroffen door verschillende varianten van deze aanvalscampagne. De meest recente golf begon in juni van dit jaar en heeft al meer dan zesduizend websites geïnfecteerd. De aanvallers blijven hun methoden verfijnen om steeds geavanceerdere en moeilijker te detecteren malware te verspreiden.
Wat kunnen WordPress-beheerders doen?
Voor beheerders van WordPress-sites is het belangrijk om extra alert te zijn en voorzorgsmaatregelen te nemen om verdere infecties te voorkomen:
- Gebruik sterke, unieke wachtwoorden: Vermijd eenvoudige wachtwoorden en gebruik een wachtwoordmanager om sterkere wachtwoorden te genereren en te beheren.
- Activeer tweefactorauthenticatie (2FA): Dit voegt een extra beveiligingslaag toe en voorkomt dat aanvallers gemakkelijk toegang krijgen tot de site, zelfs als ze een wachtwoord hebben bemachtigd.
- Controleer regelmatig de geïnstalleerde plug-ins en thema’s: Verwijder ongebruikte of verdachte plug-ins en houd de resterende software up-to-date.
- Maak regelmatige back-ups van de website: Mocht een site toch gecompromitteerd raken, dan kan een recente back-up helpen bij het herstellen van de site naar een veilige staat.
Deze recente aanvalscampagne benadrukt nogmaals het belang van goede beveiligingspraktijken voor WordPress-beheerders. Voorkom dat jouw website het volgende doelwit wordt door proactief beveiligingsmaatregelen te treffen en je site nauwlettend in de gaten te houden.