Sikkerhedsbrist i flere WordPress-plugins

By DatasikkerhedSikkerhedshuller, Wordpress

Den 25. juni 2024 blev det opdaget, at mindst fem plugins på WordPress.org var blevet kompromitteret af en ondsindet aktør, som havde tilføjet bagdøre i koden. Dette angreb blev afsløret af Wordfence Threat Intelligence-teamet, og det omfattede plugins installeret på over 35.000 websites.

Angrebet

En trusselsaktør ændrede kildekoden i følgende plugins for at inkludere skadelige PHP-scripts, der opretter nye brugerkonti med administrative rettigheder på de berørte websites:

  • Social Warfare version 4.4.6.4 til 4.4.7.1 (rettet i version 4.4.7.3)
  • Blaze Widget version 2.2.5 til 2.5.2 (rettet i version 2.5.4)
  • Wrapper Link Element version 1.0.2 til 1.0.3 (rettet i version 1.0.5)
  • Contact Form 7 Multi-Step Addon version 1.0.4 til 1.0.5 (rettet i version 1.0.7)
  • Simply Show Hooks version 1.2.1 til 1.2.2 (ingen rettelse tilgængelig endnu)

Opdagelse og Respons

Angrebet blev opdaget af Wordfence, som straks informerede plugin-udviklerne, hvilket førte til, at der blev udgivet patches for de fleste berørte plugins.

“På nuværende tidspunkt ved vi, at den injicerede malware forsøger at oprette en ny administrativ brugerkonto og derefter sende disse oplysninger tilbage til en server, der kontrolleres af angriberen,” forklarede Wordfence.

Backdoor Operationer

Malwaren i de inficerede plugins forsøger at oprette nye admin-konti og injicere SEO-spam på de kompromitterede websites. Data sendes til IP-adressen 94.156.79[.]8, og de arbitrært oprettede admin-konti er navngivet “Options” og “PluginAuth”. Ejere af websites, der bemærker sådanne konti eller trafik til den nævnte IP-adresse, bør udføre en komplet malware-scanning og oprydning.

Sikkerhedsanbefalinger

Wordfence anbefaler, at brugere, som har disse plugins installeret, anser deres installation for kompromitteret og straks går i hændelsesrespons-tilstand. Nogle af de berørte plugins blev midlertidigt fjernet fra WordPress.org, hvilket kan resultere i advarsler for brugere, selvom de anvender en patched version.

Leverandørkædeangreb

Dette tilfælde er et klassisk eksempel på et leverandørkædeangreb, hvor en ondsindet aktør infiltrerer en softwareudviklingsproces for at indsætte skadelig kode, som derefter distribueres til slutbrugerne gennem normale opdateringskanaler. Leverandørkædeangreb er særligt farlige, fordi de ofte involverer betroede softwarekomponenter og kan påvirke mange brugere.

Baggrund og Konsekvenser

WordPress, som er et af de mest populære content management systemer (CMS) i verden, bruges af millioner af websites. Sikkerhedsbrister i plugins kan derfor have vidtrækkende konsekvenser. Plugins tilføjer funktionalitet til WordPress-sites, men de er også sårbare over for sikkerhedsproblemer, hvilket gør dem til et attraktivt mål for cyberkriminelle.

Wordfence bemærker, at de ikke ved, hvordan trusselsaktøren fik adgang til kildekoden i pluginsene, men en undersøgelse er i gang.

Konklusion

Denne hændelse understreger vigtigheden af robust sikkerhed i udviklings- og distributionsprocesserne for software. Website-ejere bør være opmærksomme på risikoen ved at bruge tredjeparts plugins og regelmæssigt opdatere deres software samt udføre sikkerhedsscanninger for at opdage og fjerne potentielle trusler.

Kilde: Advokat og Revisor Samvirket, AORS.DK
Fotokredit: stock.adobe.com
Personer/Firmaer/Emner: #WordPress, #Wordfence, #Cybersecurity, #ITsikkerhed
Copyrights: Ⓒ 2024 Copyright by https://AORS.DK – kan deles ved aktivt link til denne artikel.

Hvem er WordPress?

WordPress er et af de mest populære content management systemer (CMS) i verden og anvendes til at skabe og administrere websites. Det er open-source og tilbyder en fleksibel platform, hvor brugere kan tilføje funktionalitet gennem tusindvis af plugins og temaer.

Hvordan hackere kan overtage kontrollen med et plugin

Hackere kan overtage kontrol med et plugin ved hjælp af udløbne domæner på følgende måde:

  1. Overtagelse af Domæne: Når et domæne, der er tilknyttet et plugin eller udvikleren bag det, udløber, kan en hacker købe dette domæne.
  2. Manipulation af Plugin Kildekode: Efter at have fået kontrol over domænet, kan hackeren ændre kildekoden i pluginet og tilføje ondsindet kode.
  3. Distribution af Malware: Den opdaterede plugin-version med skadelig kode distribueres derefter gennem de normale opdateringskanaler. Brugere, der opdaterer deres plugin, vil dermed downloade og installere den inficerede version.

Sikkerhedsforanstaltninger

For at beskytte sig mod sådanne angreb bør brugere:

  • Regelmæssigt Opdatere Plugins: Sørge for, at plugins er opdateret til de nyeste versioner fra pålidelige kilder.
  • Overvågning af Aktivitet: Overvåge website-aktivitet for mistænkelig adfærd og udføre regelmæssige sikkerhedsscanninger.
  • Brug af Sikkerhedsværktøjer: Installere sikkerhedsplugins som Wordfence, der kan advare om potentielle trusler og beskytte mod angreb.

Denne proaktive tilgang hjælper med at minimere risikoen for kompromittering af websites gennem sårbare plugins.

Sikkerhed i WordPress sammenlignet med andre CMS

WordPress er et af de mest populære content management systemer (CMS) globalt, hvilket gør det til et attraktivt mål for hackere. Sammenlignet med andre CMS’er som Joomla og Drupal har WordPress både styrker og svagheder i forhold til sikkerhed:

  1. Brugervenlighed: WordPress er nemt at bruge og installere, men det kan føre til, at mange brugere ikke tager de nødvendige sikkerhedsforanstaltninger.
  2. Opdateringer: WordPress har en aktiv udviklerbase, der regelmæssigt udgiver sikkerhedsopdateringer. Det er vigtigt, at brugere holder deres installationer og plugins opdateret.
  3. Plugins og Temaer: Der findes tusindvis af plugins og temaer, der kan udvide funktionaliteten i WordPress. Mange af disse er dog udviklet af tredjepart, hvilket kan introducere sårbarheder, især hvis de ikke vedligeholdes korrekt.
  4. Sikkerhedsplugins: WordPress tilbyder adskillige sikkerhedsplugins, som kan forbedre beskyttelsen mod angreb. Disse plugins kan hjælpe med at opdage og blokere trusler samt udføre regelmæssige sikkerhedsscanninger.

Sikkerhedssammenligning med andre CMS’er

  • Drupal: Kendt for at være meget sikker med en stærk sikkerhedshistorik. Bruges ofte af store organisationer og regeringer.
  • Joomla: Har også gode sikkerhedsfunktioner, men kan være mere komplekst at konfigurere korrekt sammenlignet med WordPress.

Bedste praksis for sikkerhed i WordPress

  1. Regelmæssige Opdateringer: Hold WordPress-kernen, plugins og temaer opdateret.
  2. Sikkerhedsplugins: Brug sikkerhedsplugins som Wordfence eller Sucuri for ekstra beskyttelse.
  3. Stærke Adgangskoder: Brug stærke og unikke adgangskoder til alle konti.
  4. Sikkerhedskopier: Tag regelmæssige sikkerhedskopier af hele dit site.
  5. Begræns Loginforsøg: Implementer begrænsning på loginforsøg for at forhindre brute-force-angreb.

Ved at følge disse bedste praksisser kan WordPress være lige så sikker som andre CMS’er, hvis ikke mere, afhængigt af brugerens sikkerhedsbevidsthed og vedligeholdelsesniveau.

Kilde: ICARE SECURITY A/S
Fotokredit: stock.adobe.com
Personer/Firmaer/Emner: #WordPress, #Cybersecurity, #ITsikkerhed
Copyrights: Ⓒ 2024 Copyright by https://ICARE.DK – kan deles ved aktivt link til denne artikel.