Belangrijke informatie voor mensen die hun WordPress website zelf beheren. Security.nl is een toonaangevende Nederlandse nieuwswebsite die zich richt op cybersecurity, privacy, en informatiebeveiliging, en biedt actuele nieuwsberichten, achtergrondartikelen, en expertanalyses voor zowel professionals als geïnteresseerde leken op dit gebied.

Op de website www.security.nl/ verscheen zaterdag 2 december 2023 het volgende artikel.

Phishingaanval

Beheerders van WordPress-sites zijn het doelwit van een phishingaanval waarbij wordt geprobeerd om een malafide extensie geïnstalleerd te krijgen die als backdoor fungeert. Volgens de phishingmail die de aanvallers versturen en van het WordPress Security Team afkomstig lijkt, bevat de website van de beheerder een kritieke kwetsbaarheid. Daarbij wordt ook gebruik gemaakt van een verzonnen CVE-nummer.

Om het probleem te verhelpen wordt aangeraden om de in de e-mail gelinkte plug-in te installeren en activeren. Het .org-domein waarop de plug-in wordt aangeboden heeft de naam WordPress in zich en is verder een bijna identieke kopie van de echte WordPress.org website. De aangeboden “Security Update Plugin” is in werkelijkheid een malafide extensie die een malafide beheerder genaamd ‘wpsecuritypatch’ toevoegt.

De extensie bevat ook functionaliteit om deze gebruiker te verbergen. Verder installeert de extensie een PHP-backdoor met een hardcoded wachtwoord. Daarmee hebben aanvallers op verschillende manieren volledige controle over de website, zo meldt securitybedrijf Wordfence.