WordPress-sites vooral aangevallen via credential stuffing

[Captain Kirk]

Credential stuffing was vorig jaar de meestgebruikte aanvalsmethode tegen WordPress-sites, zo stelt securitybedrijf Wordfence op basis van eigen cijfers (pdf). Verder blijkt dat een groot aantal WordPress-sites niet meer actief wordt beheerd, waardoor 210.000 websites die begin 2022 besmet raakten dat eind vorig jaar nog steeds waren.

Volgens cijfers van W3Techs draait 43,2 procent van alle websites op internet op WordPress. Het platform is dan ook een geliefd doelwit van aanvallers. Die maken vooral gebruik van credential stuffing, stelt Wordfence. Bij credential stuffing worden eerder gelekte e-mailadressen en wachtwoorden gebruikt om op geautomatiseerde wijze toegang tot accounts te krijgen. Aanvallers kijken of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen. De aanval is alleen mogelijk wanneer gebruikers hun wachtwoorden hergebruiken en bedrijven dergelijke geautomatiseerde aanvallen toestaan.

Het verschil tussen credential stuffing en andere soorten aanvallen was een factor vier, aldus Wordfence. Andere aanvallen die vaak plaatsvinden is misbruik van kwetsbare plug-ins, het meeliften op al aanwezige malware of het installeren van besmette plug-ins. Het gaat dan om betaalde legitieme plug-ins die door aanvallers worden gedownload, voorzien van malware en vervolgens gratis als download op allerlei fora en websites worden aangeboden.

Zodra een WordPress-site besmet is geraakt heeft een aanvaller hier vaak volledige toegang toe. Er zijn echter veel websites die niet meer actief worden beheerd, waardoor de infectie aanwezig blijft. 210.000 WordPress-sites die begin 2022 besmet raakten waren dat eind vorig jaar ook nog steeds. Een toename van zestig procent ten opzichte van 2020. Vaak gaat het om backdoors om toegang tot de site te krijgen en behouden. Andere aanvallers kunnen echter ook misbruik van deze backdoors maken, wat in de praktijk geregeld gebeurt.

"De meeste aanvallen die we in 2020 zagen probeerden op een eenvoudige manier binnen te komen, via hergebruikte inloggegevens of door mee te liften op eerdere infecties, en onze cijfers laten zien dat dit een steeds reëlere optie is, aangezien niet meer onderhouden websites met infecties steeds vaker voorkomen", aldus Wordfence.

 

bron: https://www.security.nl