Onderzoekers hebben op 25.000 WordPress ruim 47.000 malafide plug-ins aangetroffen die aanvallers onder andere volledige controle over de website geven. 94 procent van de malafide plug-ins die over een periode van acht jaar werd gevonden is vandaag de dag nog steeds op de betreffende WordPress-sites actief. Dat stellen onderzoekes van het Georgia Institute of Technology (pdf).

Voor het onderzoek werden van 2012 tot en met 2020 WordPress-sites op meer dan vierhonderdduizend webservers geanalyseerd. Het gaat om webservers van back-upprovider CodeGuard die aan het onderzoek meewerkte. WordPress biedt gebruikers een groot aantal plug-ins en themes voor de ontwikkeling van hun website.

Er is een hele industrie ontstaan van themes- en plug-in-ontwikkelaars die zowel gratis als betaalde producten aanbieden. Betaalde plug-ins worden ook "gratis" op internet aangeboden, maar zijn dan geregeld van malware voorzien. Ook komt het voor dat aanvallers zelf malafide plug-ins aanbieden die door nietsvermoeden gebruikers worden geïnstalleerd. Zo vonden de onderzoekers 3700 malafide plug-ins die op legitieme marktplaatsen werden verkocht.

In totaal troffen de onderzoekers in de dataset ruim 47.000 malafide plug-ins op 25.000 WordPress-sites aan, waarvan 94 procent nog altijd actief is. Het ging onder andere om webshells en backdoors waarmee de aanvallers toegang tot de gecompromitteerde website behouden, maar ook plug-ins voor het tonen van malafide advertenties en doorsturen van bezoekers naar malafide websites. Ook komt het voor dat een malafide plug-in andere geïnstalleerde plug-ins infecteert.

Verder stellen de onderzoekers dat slechts tien procent van de webmasters heeft geprobeerd om de malafide plug-ins te verwijderen, en daarvan werd 12,5 procent opnieuw geïnfecteerd. De onderzoekers presenteerden hun bevindingen eerder deze maand tijdens het USENIX Security Symposium in Boston.