De afgelopen maand zijn 1,3 miljoen WordPress-sites het doelwit van een grootschalige aanval geworden waarbij werd geprobeerd om de websites over te nemen. De aanval was afkomstig van één enkele aanvaller, aldus securitybedrijf Wordfence.

De aanvaller maakt gebruik van bekende kwetsbaarheden in de WordPress-extensies Easy2Map, Blog Designer, WP GDPR Compliance, Total Donations en het Newspaper-theme. In het verleden richtte de aanvaller zich ook op kwetsbaarheden in de extensies ThemeGrill Demo Importer en Profile Builder.

Via de kwetsbaarheden kan een aanvaller kwaadaardige JavaScript-code op de website plaatsen. Deze code probeert de cookies van de ingelogde WordPress-beheerder te stelen. Wanneer het slachtoffer niet is ingelogd wordt die naar een malafide website doorgestuurd. Is de beheerder wel ingelogd, dan worden zijn inlogcookies gestolen en voegt de aanvaller een backdoor aan de website toe.

Begin mei rapporteerde Wordfence al over de aanvaller, die op dat moment 900.000 WordPress-sites had aangevallen. Van de aangevallen websites draaiden er naar schatting maximaal 10.000 een kwetsbare extensie. Op het moment van de berichtgeving was het aanvalsverkeer al afgenomen, maar sinds 11 mei is er een gigantische piek zichtbaar en heeft deze aanvaller nu in dertig dagen tijd zeker 1,3 miljoen WordPress-sites aangevallen. Hoeveel er daarvan zijn gecompromitteerd is onbekend.

WordPress-beheerders krijgen het advies om hun extensies up-to-date te houden en niet meer ondersteunde extensies te verwijderen. Tevens geeft Wordfence een overzicht van domeinen waarmee WordPress-beheerders kunnen controleren of hun website is gecompromitteerd.