24 juli 2014 15:11

Gehackte Wordpress-plugin bedreigt ook andere sites

De achterpoortjes in de vorige versie van WordPress-plugin MailPoet, uitgebuit op wel 50.000 websites, vormen ook een bedreiging voor websites die niet draaien op Wordpress.

Door een ondertussen gepatchte kwetsbaarheid in een populaire Wordpress-plugin hebben hackers ondertussen al 50.000 sites overgenomen.

Zoals we eerder deze maand al berichtten waren alle Wordpress-websites die de veelgebruikte plugin MailPoet hadden draaien in gevaar. Die plugin bleek namelijk een achterpoortje te bevatten waardoor hackers konden inbreken en malware installeren op je website.

Er werd quasi meteen na de ontdekking van de bug een patch vrijgegeven door de ontwikkelaars van de plugin (versie 2.6.7) waarmee het probleem opgelost werd.

Nu blijkt dat in de afgelopen drie weken zo"n 50.000 websites toch geïnfecteerd geweest zijn. Verassend genoeg bleek ook dat lang niet al die websites de plugin geïnstalleerd hadden – vele draaiden zelfs niet op Wordpress-software.

Daniel Cid van beveiligingsfirma Sucuri verklaart het als volgt: "De kwetsbaarheid in MailPoet is alleen maar het beginpunt. Je website moet de plugin niet hebben ingeschakeld of zelfs maar geïnstalleerd; als het op je server zit in een naburig website, dan kan jouw site nog steeds geïnfecteerd worden."

De malware die via MailPoet geïnjecteerd wordt maakt een achterpoortaccount aan, waardoor de hacker volledige administratieve rechten krijgt op jouw site. Hij kan dan ook code inschrijven in alle bestanden van je site.

Daarenboven tast de malware als nevenaffect ook alle goede bestanden aan, waardoor de meeste sites uitvallen en alleen nog een error-bericht laten zien.