Blufware...

https://www.google.com/search?q=%22create+file+on+site%22

Wel aardig van de hacker om zo al deze sites te laten beveiligen.

https://www.blockchain.com/btc/address/3BkiGYFh6QtjtNCPNNjGwszoqqCka2SDEc
lol

"Op basis van logbestanden blijkt dat de aanvallers over inloggegevens van getroffen websites beschikken, "

En waarom waren die inlogsystemen bereikbaar vanaf het internet?
Je kunt prima die backend van Wordpress afschermen met bijvoorbeeld een IP-filter? Zouden ze eigenlijk standaard moeten doen!

Even fake AV draaien en als dat niet helpt is er vast een behulpzame Indiase helpdesk te bereiken welke CC accepteerd.

Beetje lastig met die 1euro hosting denk ik.

Ik denk omdat veel Wordpress-website eigenaren dit gewoon niet weten of vergeten te doen.

Wie heeft de site gemaakt?
Als ik zeg dat ik voor het installeren van een basis wordpress een aantal uren nodig heb, moet ik vaak ook uitleggen dat ik ook de beveiliging serieus neem.

Normaal lees je dat dit alleen maar op Windows voor komt.

Echter, zo blijft is dit totaal niet het geval.

Het zijn eigenlijk de applicaties die het probleem zijn, al dan niet icm updates installeren.
Dit is hiervan dus een prachtig voorbeeld.

Probleem ligt bij het feit dat mensen geen unieke wachtwoorden gebruiken voor diensten of webportals zoals het beheren van WP sites. Aanvallers hebben dmv bruteforcen toegang gekregen tot een aantal van deze webportals en simpel een plugin geïnstalleerd welke de 'hacked' pagina toont. De applicatie kan nog zo veilig zijn zonder foutjes (2FA daargelaten), zodra je login gegevens laat slingeren laat je eigenlijk gewoon de deur open staan.

Dat lees je helemaal niet. Wat je normaal leest is dat de windows servers zijn versleuteld. Dat is hier niet het geval.
Daarnaast draait wordpress ook op windows, die servers zullen wel versleuteld worden en heeft de ISP een probleem.

Afgelopen dagen hebben we bij enkele klanten (paar honderd domeinen) een toenname van bruteforce attempts waargenomen. Voornamelijk uit India als we de ASN's en IP's mogen geloven. Het zou me niks verbazen als dit te maken heeft met deze campagne. Op zich weinig vernieuwends aan weer eens wat anders dan een zeroday theme injection vermomd als emoticons in de site directory.

Op het punt qua log bestanden die waren niet publiekelijk toegankelijk die waren onder contract inzichtelijk bij Sucuri
Het is niet voor niks een security company dat audits verricht voor anderen. Wordpress heeft standaard *geen* user login of action log dat haal je uit je Apache, IIS Lightspeed of Nginx of andere webserver raw logs. Services als Sucuri, Wordfence hebben tooling gemaakt in de vorm van plug-ins die deze data wel opslaan in database vorm en of verwerken naar log bestand. (absurd maar het is nu eenmaal hoe WP gemaakt is)

Andere genoemde punt praktisch heeft een preventief IP filter enkel nut als er verdere authenticatie controle plaatsvind.
Waarom? Omdat in de praktijk zelden je klanten vanaf 1 locatie hun back-end benaderen en als je hun daarin beperkt door bijvoorbeeld enkel hun kantoor IP toe te laten je week later een ticket ontvangt dat ze niet kunnen inloggen vanaf hun mobiele apparaat.

Daarbij ook meegenomen door het advies van de regering dat thuiswerken geadviseerd is loop je tegen een ander probleem namelijk GDPR. Een kantoor IP is niet gebonden aan 1 persoon een thuis locatie echter is iets anders.

Dan kan je ofc kiezen voor het opnemen van het IP zonder beschrijving maar dat is niet bepaald handig omdat je ook het risico loopt dat je dan een dynamisch IP whitelist die mischien over een half jaar of korter niet meer in handen van de gebruiker is.

Geo block is dan ook weer omstreden wegens eerder genoemde GDPR daarnaast vreet het server resources en vaak zit er vertraging in de actuele lijsten en de werkelijke situatie waardoor ineens tussen leveranciers blokkades ondervinden die eigenlijk in de ignore list waren opgenomen. (M365, Mailchimp bijvoorbeeld)

Dus als je IP filtering doet voor back-end altijd MFA of OTP forceren en adviserend geen optie van SMS transport van code. Ik verwijs maar even naar Sucuri hun eigen blog, al mag dit niks nieuws zijn voor de meerderheid.
https://blog.sucuri.net/2020/01/why-2fa-sms-is-a-bad-idea.html

En de droge stof van de NIST voor wie zich verveelt.
https://pages.nist.gov/800-63-3/

Dat is als je je klanten zo ver krijgt een app op hun telefoon te zetten verwerkings overeenkomst aan te gaan met een derde partij en dat alles zonder weerstand. (veel geluk daarmee)

User enumeration op enabled laten staan en directory listing idem?

Dan kun je zulke dingen verwachten. Basale CMS configuratiefouten leiden tot allerlei narigheid.

luntrus

Als dit geen blufware zou zijn én het om Windows servers zou gaan, dan zouden alle systemen op het hele achterliggende netwerk besmet worden. Want daarvoor is het vaak al genoeg dat iemand op iets verkeerds klikt, of iets verkeerds opent, op een client machine die aan het netwerk hangt. Laat staan een server. Of wacht, staat dit ook in het antwoord waarop ik reageer?

Filteren op ip-adres werkt fantastisch tegen hacken :) en kan meestal prima, want serieuze webwinkels etc worden normaliter niet onderhouden vanuit een weiland, via mobiel internet maar vanaf de wifi van werk of huisadres, misschien nog van een filiaal maar dan ben je er meestal wel. En die wifi heeft meestal jarenlang hetzelfde ip.

Dit hoeft geen tickets op te leveren want klanten kunnen dit gewoon zelf beheren middels een plug-in.

Filteren op IP is niet eens echt nodig als er maar een uniek, sterk wachtwoord wordt gebruikt, in combinatie met een limiet op het aantal inlogpogingen. Ook dit kan weer prima met één WP-plug-in die zelf ook nog eens in te stellen is qua aantal pogingen, per uur, dag etc.

Kortom beperk het mogelijke aantal inlogpogingen, gebruik een sterk, uniek wachtwoord en hernoem als bonus de standaard inlogpagina. Dan wordt het erg lastig voor scriptkiddies eh hackers. Uiteraard maak je sowieso af en toe een off-site backup, want het kan ook op andere manieren fout gaan en dan kun je toch betrekkelijk snel weer online zijn.