Kwetsbaarheid in Popup Builder WordPress-plugin leidt tot infectie van duizenden websites

Kwetsbaarheid in Popup Builder WordPress-plugin leidt tot infectie van duizenden websites

Recentelijk zijn duizenden websites ten prooi gevallen aan hackers door een kwetsbaarheid in verouderde versies van de Popup Builder-plugin. Ondanks dat deze kwetsbaarheid al eind vorig jaar ontdekt was, zijn meer dan 3.300 websites geïnfecteerd met malware. De kwetsbaarheid, bekend als CVE-2023-6000, werd in november vorig jaar ontdekt in Popup Builder-versies 4.2.3 en ouder voor WordPress. Dit resulteerde in een malware-infectie van meer dan vierduizend WordPress-sites via de Balada Injector-campagne.

Het lijkt erop dat niet alle gebruikers van de WordPress-plugin het patchproces hebben doorgevoerd, aangezien opnieuw meer dan 3.300 websites via deze kwetsbaarheid zijn geïnfecteerd. Vooral de laatste drie weken is het aantal geïnfecteerde websites met verouderde versies van de Popup Builder-plugin aanzienlijk toegenomen. Volgens beveiligingsexperts van Securi en PublicWWW fluctueert het aantal gescande geïnfecteerde WordPress-sites momenteel tussen de 1.170 en 3.239.

Aanvalsmethode

De malware-infecties richten zich specifiek op de Custom JavaScript- of Custom CSS-secties van de WordPress-beheeromgeving, waarbij de kwaadaardige code wordt opgeslagen in het ‘wp-postmeta’-databasetabel.

De geïnjecteerde malware, bestaande uit twee varianten, fungeert voornamelijk als een ‘event handler’ voor verschillende Popup Builder-plugin events, zoals ‘sgpb-ShouldOpen’ en ‘sgpb-DidClose’. Deze code activeert bij verschillende acties van de plugin, zoals het openen of sluiten van een popup. Het hoofddoel van de malware is het omleiden van bezoekers van geïnfecteerde WordPress-websites naar kwaadaardige bestemmingen, zoals phishingpagina’s of sites die verdere malware installeren op de systemen van gebruikers.

Aanbevolen acties

Om het risico te minimaliseren wordt dringend geadviseerd om te upgraden naar versie 4.2.7 van de Popup Builder-plugin, waarin de kwetsbaarheid is verholpen. Ongeveer 80.000 actieve websites maken momenteel gebruik van versie 4.1 en ouder, waardoor het aanvalsoppervlak aanzienlijk is.

Daarnaast wordt aanbevolen om de domeinen waarvan de kwaadaardige aanvallen afkomstig zijn te blokkeren, waaronder ’ttincoming.traveltraffic.cc’ en ‘host.cloudsonicwave.com’. Voor getroffen gebruikers wordt aangeraden om de kwaadaardige code uit de custom-secties van de Popup Builder-plugin te verwijderen en hun omgeving te scannen op mogelijke backdoors om verdere infecties te voorkomen. Dit incident markeert niet de eerste keer dat WordPress wordt getroffen door een Balada Injector-campagne. In oktober vorig jaar werden duizenden WordPress-websites getroffen door een vergelijkbare cross-site scriptingkwetsbaarheid die een malware-campagne faciliteerde.

Wat kun je er aan doen?

WordPress hack verwijderen

Ben je niet erg bekend met technische aspecten en wil je er zeker van zijn dat de hack volledig en grondig wordt verwijderd? Overweeg dan om je website door ons te laten ontdoen van de hack. Wij zorgen ervoor dat er geen foutieve code achterblijft en nemen stappen om je website te beveiligen tegen toekomstige hacks. Dit is de meest betrouwbare optie voor herstel.

We bieden ondersteuning via een eenmalige dienst of je kunt kiezen voor een WordPress onderhoudspakket bij ons. Mocht je echter de voorkeur geven aan zelfhandhaving, bekijk dan deze richtlijnen om je website te zuiveren.

Beheer je een WordPress-website? Dan ben je vast al op de hoogte van het enorme belang van regelmatige back-ups. Ter ondersteuning kun je diverse plugins gebruiken, maar nog effectiever is om te kiezen voor hosting met ingebouwde automatische updates. Veel hostingbedrijven bieden deze dienst aan. Toch is het hierbij belangrijk om in gedachten te houden dat goedkoop uiteindelijk duur kan uitpakken. Doe vooraf onderzoek naar je hostingprovider om te bepalen of deze automatische updates aanbiedt en hoe eenvoudig het is om een WordPress-back-up te herstellen.

Onafhankelijkheid van je host is eveneens essentieel. Met een backup-plugin zorg je ervoor dat je altijd een recente reservekopie bij de hand hebt. De twee meest aanbevolen plugins om automatische back-ups te genereren zijn:

UpdraftPlus (gratis)
BackWpUp (gratis)

Lukt het niet om een back-up te gebruiken? Overweeg dan om een plugin te installeren die malware detecteert en kan verwijderen. Dergelijke plugins scannen je serverbestanden en vergelijken ze met hun eigen database van bekende inbraken. Het kan zijn dat je meerdere plugins nodig hebt om de bron van de inbraak te lokaliseren. Vaak wordt de inbreuk aangetroffen in de “uploads” map van je WordPress-installatie, of zelfs in bestanden zoals “wp-config.php” of “.htaccess”.

Deze plugins kunnen van pas komen bij het verwijderen van geïnfecteerde content:

Mogelijk is de inbraak ook doorgedrongen tot de kernbestanden van WordPress. Als dat het geval is, kun je een nieuwe WordPress-versie downloaden van WordPress.org en de oude bestanden overschrijven. Vergeet niet om eerst een back-up van je website te maken voordat je hiermee aan de slag gaat!

Om te voorkomen dat je website het doelwit wordt van een hack, is het van groot belang om regelmatig updates uit te voeren. Updates voor je thema, plugins en WordPress-versie worden frequent vrijgegeven. Deze updates hebben als doel de functionaliteit te verbeteren, vernieuwen én de beveiliging te versterken.

Een groot aantal updates komt voort uit het ontdekken van beveiligingslekken. Het is dan ook cruciaal dat je alles up-to-date houdt. Bij voorkeur dien je dit wekelijks of zelfs dagelijks te doen, vooral als je website van vitaal belang is. Deze taken kun je zelf uitvoeren of je kunt ervoor kiezen om dit tegen een kleine maandelijkse vergoeding aan ons uit te besteden!

In de adresbalk van jouw browser zie je naast onze domeinnaam een slotje staan. Dat betekent dat de gegevens die over deze website verstuurd worden, versleuteld zijn. Veel hosting bedrijven bieden een gratis certificaat aan van Let’s Encrypt. Bij anderen kun je kiezen voor een betaalde variant. Doe dit sowieso! Je website en gegevens die bijvoorbeeld via een contactformulier worden verstuurd zijn daarmee een stuk veiliger.

Ook ziet Google een dergelijk certificaat als een ranking factor. Zonder SSL heb je een grote kans dat je website niet zal gaan scoren op de voor jou belangrijke zoekwoorden!

Het is spijtig genoeg een veelvoorkomend probleem dat WordPress-accounts zwakke gebruikersnamen en wachtwoorden hebben. Denk aan zaken als “admin” als inlognaam en “123456789” als wachtwoord. Of nog erger, accounts waar de inlognaam en het wachtwoord identiek zijn. Dit behoort tot de meest riskante stappen die je kunt nemen. Elke dag doorzoeken bots het internet en proberen deze standaard combinaties uit op willekeurige websites. Als je een dergelijk wachtwoord hebt, loop je een groot risico dat je website wordt gehackt.

Kies in plaats daarvan voor een sterk wachtwoord dat bestaat uit diverse tekens: spaties, kleine en hoofdletters, en cijfers. Hierdoor wordt het voor hackers veel lastiger om het wachtwoord te ‘raden’. In WordPress kun je dit op een eenvoudige manier doen. Navigeer binnen het beheerscherm naar “Gebruikers”, selecteer een gebruiker en scrol omlaag naar de optie ‘Nieuw wachtwoord’. WordPress zal automatisch een lang en complex wachtwoord voor je genereren. Omdat je dit lastig kunt onthouden, is het raadzaam om ingelogd te zijn in Chrome om het wachtwoord op te slaan, of gebruik te maken van een dienst als LastPass om je wachtwoorden te beheren.

Daarnaast is het eveneens van belang om een inlognaam te kiezen die niet voor de hand ligt. Gebruik geen namen van personen die met hun volledige naam op je website vermeld staan, en vermijd zeker “admin”.

Het verwijderen van een hack op je WordPress website kan een lastig technisch verhaal zijn.

Lukt het je niet om de hack te verwijderen? Neem dan contact met ons op om je website hackvrij te maken. Dat doen we professioneel en snel: in de meeste gevallen ben je binnen 24 uur geholpen. Dat kan als eenmalige dienst of kies voor ons premium onderhoudspakket om in de toekomst altijd verzekerd te zijn van een snelle, veilige en hackvrije website!

Eenmalige dienst voor slechts € 175

WordPress hack laten oplossen

Vermoed je dat je website is gehackt en weet je niet hoe je dit kunt oplossen? Stuur ons dan een bericht of bel. Onze eenmalige dienst om je website hackvrij te maken kost € 175 ex BTW. We helpen je tijdens kantooruren dezelfde dag nog.

Wil je zeker weten datje website hackvrij blijft? Kies dan voor ons premium onderhoudspakket en we zorgen voor een website die altijd snel, veilig en up to date is. Gegarandeerd!

Naam