Groot WordPress lek infecteert meer dan 100.000 sites

09 januari (2015)

Netaffairs host vele WordPress websites en volgt nieuws omtrent beveiligingslekken op de voet. WordPress is een open-source content management systeem dat, net als vele andere open-source content management systemen, regelmatig doelwit is van hackers. Omdat veel websites WordPress gebruiken is een nieuw lek veelal voor heel veel websites van toepassing. Sinds zondag 14 december, zijn meer dan 100.000 WordPress websites het slachtoffer geworden van de Russische malware genaamd “SoakSoak”.

De WordPress-plugin Slider Revolution (RevSlider) maakt op een makkelijke manier slideshows van allerlei soorten content. In juli was al bekend dat de zeer populaire plugin een softwarefout bevatte die de code kwetsbaar maakt. In september volgden de eerste meldingen van exploits van de kwetsbaarheid. De malware verbergt een paar regels code in elke webpagina waardoor de pagina een downloadactie start van een site met meer malware. De eerst ontdekte malwaresite waar naar verwezen werd, is soaksoak.ru, waardoor de malware de naam SoakSoak kreeg.

Google heeft al meer dan 10.000 geïnfecteerde domeinen op de zwarte lijst gezet. Hoewel een patch voor de kwetsbaarheid snel beschikbaar was, zijn inmiddels meer dan 100.000 sites besmet met de SoakSoak-malware, meldt IT-beveiliger Sucuri. Een bijkomend probleem is dat RevSlider een ‘premium’-plugin is die vaak onderdeel is van kant-en-klare thema’s die door minder technisch onderlegde website-eigenaren worden gebruikt. Volgens de beveiliger hebben veel van de eigenaren van besmette sites niet eens door dat hun website RevSlider-plugin gebruikt, waardoor ze ook niet op het idee zijn gekomen de kwetsbaarheid aan te pakken.

Hoe kom je er vanaf

Maar ook wanneer de infectie eenmaal is geconstateerd, is het nog niet eenvoudig om er weer vanaf te komen. De malware creëert namelijk een grote hoeveelheid nieuwe ‘achterdeurtjes’. Verwijdering van de paar regels code uit de pagina’s leidt vaak binnen enkele minuten tot een nieuwe infectie. Sucuri raadt aan een website firewall voor de site te plaatsen. Terug gaan naar een backup van voor de infectie is ook een goede mogelijkheid, mits de patch gelijk wordt aangebracht. Een rigoureuze aanpak is het opnieuw opzetten van de site.

Hoe SoakSoak werkt;

Het virus SoakSoak past het volgende bestand aan: wp-includes/template-loader.php file en include de onderstaande code:

===================================
function FuncQueueObject()
{
wp_enqueue_script(“swfobject”);
}
add_action(“wp_enqueue_scripts”, ‘FuncQueueObject’);
===================================

Deze code zorgt ervoor dat swfobject.js, welke via wp-includes / js / op elke pagina van de site wordt ingesloten, de malware laadt van het SoakSoak. ru domein.

Hoe weet ik dat mijn website geïnfecteerd is?

Uiteraard kan je zoeken naar de bovenstaande code, maar er zijn ook online tools die je kunnen helpen. Zoals bijvoorbeeld; http://sitecheck.sucuri.net/
Hier kan je je website scannen naar veel veelgebruikte lekken.

De laatste informatie is ook te vinden op: http://blog.sucuri.net/2014/12/revslider-vulnerability-leads-to-massive-wordpress-soaksoak-compromise.html

Update regelmatig!

Veel bedrijven die een WordPress website laten ontwikkelen kijken er lange tijd niet meer naar om. Elk CMS zal actief geupdate moeten worden. Zo ook WordPress. Actief updaten zal in veel van de gevallen afdoende zijn om lekken te voorkomen. Neem hiervoor contact op met uw website ontwikkelaar.

WordPress hosting

WordPress hosting is een vak apart. Speciaal geconfigureerde servers zorgen voor een stabiele en snelle WordPress hosting omgeving. Netaffairs heeft naast de technische kennis ook inhoudelijke kennis over WordPress wat ons een one-stop-shop en vertrouwde partner maakt voor WordPress hosting. Meer informatie? Neem dan contact met ons op.

Geschreven door Lizet Beks