Wat je moet weten over neppe WordPress plugins

neppe WordPress plugins

Als WordPress gebruiker vertrouw je waarschijnlijk regelmatig op plugins om de functionaliteiten van je website uit te breiden. Maar het is wel belangrijk dat je heel selectief bent met het kiezen van de plugins die je wilt installeren. De verkeerde plugins kunnen namelijk de veiligheid van je site in gevaar brengen. Dat gebeurt vaak met oude plugins die niet meer geüpdatet worden. Maar je moet ook weten dat er hackers zijn die hun eigen plugins bewust met kwaadwillende code injecteren. Dat klopt: er zijn neppe WordPress plugins die gebouwd worden met het doel om WordPress sites te infecteren. Het is ook niet altijd even makkelijk om die ‘infecties’ te ontdekken. In dit artikel geven we een aantal voorbeelden van manieren waarop hackers gebruik kunnen maken van WordPress plugins om je site te infecteren.

Neppe WordPress plugins die iedereen hebben misleid

Je weet waarschijnlijk wel wat je moet doen om je WordPress site goed te beveiligen. (Lees ook: Beveiligen van je WordPress webshop: 12 tips) Je hebt een betrouwbare webhost, je hebt een SSL-certificaat geïnstalleerd, je bent voorzichtig met de UGC die je op je site toelaat, je zorgt dat de WordPress core altijd up-to-date is en je hebt de loginpagina beveiligt met sterke wachtwoorden. Maar weet je ook wat je moet doen als de hack vanuit je website zelf komt?

de beste en snelste wordpress webhosting

Hackers die de moeite nemen om neppe WordPress plugins te bouwen weten waar ze mee bezig zijn. Veel neppe WordPress plugins die schade hebben veroorzaakt blijven lang onopgemerkt, omdat de code er—in ieder geval op het eerste gezicht—prima uitzag. Ben je nog nooit een neppe WordPress plugin tegengekomen? Dit zijn een aantal bekende gevallen:

Pingatorpin Plugin

Pingatorpin was een plugin die in 2013 beschikbaar kwam en niet meteen als kwaadaardige plugin werd herkend. Toen Sucuri ontdekte dat er een groot aantal WordPress sites was die allemaal dezelfde malware bevatten, gingen ze dieper graven. Pas later ontdekten ze dat de Pingatorpin plugin de bron van de spam was waar deze websites vol mee stonden.

SI CAPTCHA Anti-Spam Plugin

De SI CAPTCHA plugin was tot aan de zomer van 2017 een deugdelijke CAPTCHA plugin. In juni werd de plugin door een andere partij overgekocht. Toen begonnen de problemen. De nieuwe eigenaar voegde een scriptje aan de plugin toe die een van zijn servers in staat stelde om advertenties over leningen in de blogposts van gebruikers te injecteren. Achteraf bleek deze hacker nog acht andere WordPress plugins te gebruiken om ‘backdoor access’ te verkrijgen tot WordPress sites. Hackers zoals hij weten dondersgoed dat de meeste WordPress gebruikers niet snel een onbekende plugin zullen installeren, dus de tactiek om een bestaande plugin over te kopen en deze te gebruiken was eigenlijk heel slim.

WP-Base-SEO Plugin

In april 2017 werden bijna 4.000 WordPress websites gehackt nadat zij de WP-Base-SEO plugin hadden geïnstalleerd. De hacker die hierachter zat had de plugin niet from scratch ontwikkeld, of een reeds bekende plugin gekocht; hij had de code van een andere SEO plugin gekopieerd om zijn versie als een legitieme plugin te doen overkomen. Dat is waarschijnlijk de reden dat de plugin aan de aandacht van online scanner wist te ontsnappen. Gelukkig kwam men er al vrij snel achter dat er iets mis was. Na het inspecteren van de plugin werden er een aantal verdachte bestanden geïdentificeerd, evenals een base 64 PHP request dat tot de infectie leidde.

X-WP-SPAM-SHIELD-PRO

X-WP-SPAM-SHIELD-PRO leek in de eerste instantie een prima security plugin te zijn. De plugin had zelfs de mappenstructuur die een normale en veilige plugin zou moeten hebben. Maar Sucuri ontdekte dat er heel wat mis bleek te zijn met de code. De plugin kon namelijk allerlei gevoelige informatie ophalen over de websites waarop hij geïnstalleerd was, zoals de huidige WordPress versie, een lijst van alle plugins die op de site geïnstalleerd waren, een lijst van de admin gebruikers op de site en de namen van ingelogde gebruikers, inclusief hun wachtwoorden en IP-adressen. Zodra de plugin die informatie had verzameld, had hij ook nog eens het vermogen om een nieuwe admin toe te voegen (en dus vrij op de site rond te struinen), elke willekeurige plugin op de site te deactiveren (dus ook security plugins) en bestanden naar de site te uploaden. De maker kreeg ook een notificatie zodra iemand de X-WP-SPAM-SHIELD-PRO plugin geïnstalleerd had, zodat hij precies wist wanneer hij volledige toegang had.

Best eng, nietwaar? De hierboven genoemde neppe WordPress plugins zijn gelukkig allemaal verwijdert, maar dat betekent natuurlijk niet dat er nooit meer een neppe plugin van een hacker zal opduiken.

In onze volgende blogpost leggen we uit wat je kunt doen om te voorkomen dat je per ongeluk een neppe WordPress plugin installeert.

Geef een reactie