image

"WordPress-sites vooral aangevallen via credential stuffing"

woensdag 25 januari 2023, 10:45 door Redactie, 6 reacties

Credential stuffing was vorig jaar de meestgebruikte aanvalsmethode tegen WordPress-sites, zo stelt securitybedrijf Wordfence op basis van eigen cijfers (pdf). Verder blijkt dat een groot aantal WordPress-sites niet meer actief wordt beheerd, waardoor 210.000 websites die begin 2022 besmet raakten dat eind vorig jaar nog steeds waren.

Volgens cijfers van W3Techs draait 43,2 procent van alle websites op internet op WordPress. Het platform is dan ook een geliefd doelwit van aanvallers. Die maken vooral gebruik van credential stuffing, stelt Wordfence. Bij credential stuffing worden eerder gelekte e-mailadressen en wachtwoorden gebruikt om op geautomatiseerde wijze toegang tot accounts te krijgen. Aanvallers kijken of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen. De aanval is alleen mogelijk wanneer gebruikers hun wachtwoorden hergebruiken en bedrijven dergelijke geautomatiseerde aanvallen toestaan.

Het verschil tussen credential stuffing en andere soorten aanvallen was een factor vier, aldus Wordfence. Andere aanvallen die vaak plaatsvinden is misbruik van kwetsbare plug-ins, het meeliften op al aanwezige malware of het installeren van besmette plug-ins. Het gaat dan om betaalde legitieme plug-ins die door aanvallers worden gedownload, voorzien van malware en vervolgens gratis als download op allerlei fora en websites worden aangeboden.

Zodra een WordPress-site besmet is geraakt heeft een aanvaller hier vaak volledige toegang toe. Er zijn echter veel websites die niet meer actief worden beheerd, waardoor de infectie aanwezig blijft. 210.000 WordPress-sites die begin 2022 besmet raakten waren dat eind vorig jaar ook nog steeds. Een toename van zestig procent ten opzichte van 2020. Vaak gaat het om backdoors om toegang tot de site te krijgen en behouden. Andere aanvallers kunnen echter ook misbruik van deze backdoors maken, wat in de praktijk geregeld gebeurt.

"De meeste aanvallen die we in 2020 zagen probeerden op een eenvoudige manier binnen te komen, via hergebruikte inloggegevens of door mee te liften op eerdere infecties, en onze cijfers laten zien dat dit een steeds reëlere optie is, aangezien niet meer onderhouden websites met infecties steeds vaker voorkomen", aldus Wordfence.

Reacties (6)
25-01-2023, 11:15 door Anoniem
Wat ook niet echt helpt is het gebrek aan logging in Wordpress. Je zou toch minstens een log verwachten van login
pogingen EN van uitgevoerde handelingen door ingelogde beheerders. Een of andere vorm van lockout na te veel
login pogingen zou ook wel handig zijn.
25-01-2023, 12:42 door Anoniem
Door Anoniem: Wat ook niet echt helpt is het gebrek aan logging in Wordpress. Je zou toch minstens een log verwachten van login
pogingen EN van uitgevoerde handelingen door ingelogde beheerders. Een of andere vorm van lockout na te veel
login pogingen zou ook wel handig zijn.

Er zijn wel plugins voor om dit te doen. Wordfence doet brute force protection bijvoorbeeld. Ik heb ook veel Wordpress achter een whitelist staan dus dan kom je uberhaupt al niet eens op de login pagina kan komen. En de plugins moet je ook up-to-date houden maar daar zijn goede tools voor.
25-01-2023, 13:28 door Anoniem
Wordpress was bedoelt als een simpel blog systeem wat zoals wel vaker van dat soort passion projects te groot is geworden voor hun eigen goed. Als ze eens kwaliteit controle zouden doen op alle plugins die in Wordpress gezet zouden kunnen worden hadden we vele malen minder ellende gehad. Credential stuffing heeft niks met je CMS te maken dat kan echt overal negatief effect hebben. Het niet bijhouden echter van of plug-ins nog actief worden ondersteund en het beperken van rechten van echter is een doodsteek voor je CMS.

Wordpress en activiteitenlog is inderdaad een joke opzich. De officiele reactie is kijk in je webserver logs. Veel plezier daarmee. Wordfence is een redelijke oplossing maar houdt ook zeker niet alle ellende tegen ook niet in combinatie met een server firewall en custom rule sets.

Niet dat veel andere CMS beter zijn natuurlijk alles wat bewerkbaar is via internet en door meerdere losse ontwikkelaars in elkaar zit is een recipe for disaster in the making.

Maar goed het wordt toch in grote getallen gebruikt dus we hebbe er maar mee te leven voorlopig.
25-01-2023, 15:31 door Anoniem
Door Anoniem:
Door Anoniem: Wat ook niet echt helpt is het gebrek aan logging in Wordpress. Je zou toch minstens een log verwachten van login
pogingen EN van uitgevoerde handelingen door ingelogde beheerders. Een of andere vorm van lockout na te veel
login pogingen zou ook wel handig zijn.

Er zijn wel plugins voor om dit te doen. Wordfence doet brute force protection bijvoorbeeld. Ik heb ook veel Wordpress achter een whitelist staan dus dan kom je uberhaupt al niet eens op de login pagina kan komen. En de plugins moet je ook up-to-date houden maar daar zijn goede tools voor.

Zo iets hoort onderdeel te zijn van de CORE, zeker ook in een situatie waarin plugins meteen de reputatie "verdacht, dat wordt niet bijgehouden, daar ga je in de toekomst altijd problemen mee krijgen!" hebben.
Een whitelist voor toegelaten IP adressen van admins is ook zo iets ja. Dat zou er standaard in moeten zitten (voor wie het wil en kan gebruiken).
25-01-2023, 16:52 door Anoniem
Door Anoniem: Wat ook niet echt helpt is het gebrek aan logging in Wordpress. Je zou toch minstens een log verwachten van login
pogingen EN van uitgevoerde handelingen door ingelogde beheerders. Een of andere vorm van lockout na te veel
login pogingen zou ook wel handig zijn.

Dat probleem heeft OwnCloud ook. Wat er wel gelogd wordt via een plugin is tamelijk nutteloos en onleesbaar. Loggen moet geen extra zijn, maar een altijd aanwezig onderdeel.

WordPress moet ook eens gaan waarschuwen via een mailing list voor security updates en problemen. Die is er niet. Niet gek dat diy beheerders niet weten dat er iets aan de hand kan zijn. WP denkt er met automatische updates vanaf te zijn, maar zo werkt dat dan weer niet in een professionele omgeving.
25-01-2023, 19:38 door Anoniem
Zo iets hoort onderdeel te zijn van de CORE,

Het is natuurlijk best interessant om brute-force beveiliging, verborgen inlogpromps, uitschakelbare API/JSON interfaces etc als plugin te verkopen en het op die manier niet in de core te programmeren. Ik heb het gevoel dat je daarom misschien ook wel zoveel plugins ziet die hetzelfde doen, probleem is alleen dat ze vaak problemen kunnen geven als de core wordt aangepast. Het zou echt een beter product worden als ze dat soort maatregelen wel in core zouden plaatsen, of een handleiding verstrekken waar in staat of je /wp-json gerust achter een server-level-login kunt zetten en hoe je /wp-admin verplaatst.

Een ideale applicatie zou op zichzelf, out-of-the-box, eigenlijk veilig moeten zijn en tegen alle bekende aanvallen beveiligd.
Ook open-source software, of misschien juist wel.

Nu zie je zelfs op sites waar helemaal geen Wordpress op staat de hele dag verzoekjes naar die bestanden (xmlrpc, wp-admin, wp-json), duidelijk een teken dat die erg interessant zijn als ze toch ergens op je site staan. Zonde van iedereen z'n bandbreedte omdat de core dit niet al opgelost heeft (en blijkbaar velen er niets voor installeren).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.