Aanvallers proberen databasewachtwoord 1,3 miljoen WordPress-sites te stelen

[Captain Kirk]

Aanvallers hebben geprobeerd om via een grootschalige aanval de databasewachtwoorden van 1,3 miljoen WordPress-sites te stelen. Dat stelt securitybedrijf Wordfence op basis van eigen cijfers. De aanvallers maakten misbruik van kwetsbaarheden in verouderde plug-ins en themes waarmee het mogelijk is om WordPress-bestanden te exporteren of downloaden.

Daarbij hadden de aanvallers het specifiek voorzien op het bestand wp-config.php. Dit bestand bevat gevoelige informatie zoals WordPress-databasenaam, gebruikersnaam, wachtwoord en hostnaam. Ook bevat het de WordPress "Authentication Unique Keys and Salts" waarmee het mogelijk is om authenticatiecookies te vervalsen. Met de informatie uit het php-bestand is het mogelijk om volledige controle over de WordPress-site te krijgen.

Volgens Wordfence zijn de aanvallen zichtbaar in de serverlogs van aangevallen WordPress-sites. Daarnaast heeft het securitybedrijf de tien ip-adressen genoemd die voor de meeste aanvallen in deze campagne verantwoordelijk zijn. Om welke plug-ins en themes het gaat is niet bekendgemaakt, maar eerder waarschuwde het securitybedrijf voor actieve aanvallen op een kwetsbaarheid in de Duplicator Plugin waarmee wp-config.php kon worden gestolen. Gebruikers van gecompromitteerde websites krijgen het advies om meteen hun databasewachtwoord en authenticatie keys te wijzigen.

 

bron: security.nl