WordPress-sites doelwit van botnet
In een grootschalige internationale politieoperatie is het beruchte botnet SocGholish hard getroffen. Het netwerk maakte op grote schaal misbruik van WordPress-websites om schadelijke software (malware) te verspreiden onder nietsvermoedende bezoekers. Hoewel de infrastructuur achter het botnet door de politie is neergehaald, is het gevaar nog niet geweken. Het Nationaal Cyber Security Centrum (NCSC) roept website-eigenaren op om hun systemen direct te controleren, terwijl bezoekers extra alert moeten zijn op valse browserupdates.
De politieactie maakt deel uit van 'Operatie Endgame', de grootste internationale operatie ooit tegen ransomware en wereldwijde cybercriminaliteit. Binnen dit samenwerkingsverband, dat al sinds 2024 loopt, trekt het NCSC samen op met de politie, het Openbaar Ministerie en internationale opsporingsdiensten uit onder andere Duitsland, de Verenigde Staten, het Verenigd Koninkrijk en Frankrijk, ondersteund door Europol.
Social engineering op de loer
Criminelen achter het SocGholish-botnet gebruikten gestolen inloggegevens om toegang te krijgen tot het beheerpaneel van kwetsbare WordPress-websites. Eenmaal binnen pasten zij de website zo aan dat bezoekers een dwingende, maar valse melding te zien kregen om hun internetbrowser (zoals Chrome of Edge) of andere software bij te werken.
Dit is een vorm van 'social engineering', waarbij menselijk vertrouwen wordt misbruikt. Bezoekers die in de val trappen, downloaden een schadelijk .zip- of .js-bestand. Zodra dit bestand wordt uitgevoerd, wordt de computer besmet met zogenaamde 'infostealers'. Deze malware steelt ongemerkt inloggegevens, e-mails, financiële data en systeeminformatie, waarna deze gegevens worden doorgestuurd naar de criminelen om te worden doorverkocht. In het ergste geval kan de besmetting leiden tot de installatie van gijzelsoftware (ransomware). Dit levert niet alleen grote schade op voor de bezoeker, maar zorgt ook voor flinke reputatieschade voor de getroffen website.
Oproep aan website-eigenaren: controleer op verdachte accounts
Het NCSC is inmiddels begonnen met het actief informeren van beheerders van getroffen websites, al is een direct contactadres niet altijd vindbaar. Het cybercentrum adviseert alle beheerders van WordPress-sites – ook als zij geen waarschuwingsmail hebben ontvangen – om direct actie te ondernemen.
Een belangrijke eerste indicatie voor een besmetting is de aanwezigheid van onbekende beheeraccounts die beginnen met 'wp-maintenance-' of 'wp-backup-'. Als deze worden aangetroffen, moeten ze direct worden verwijderd. Daarnaast gelden de volgende preventieve maatregelen:
Schakel altijd multifactorauthenticatie (MFA/2FA) in voor beheerders en het gekoppelde e-mailadres.
Beperk de toegang tot de beheerpagina (/wp-admin) via IP-whitelisting en houd het aantal beheerders zo laag mogelijk.
Gebruik sterke, unieke wachtwoorden in combinatie met een wachtwoordmanager.
Stel notificaties en logging in voor ongebruikelijke wijzigingen, zoals de installatie van nieuwe plug-ins of rolwijzigingen.
Maak gebruik van een WordPress-firewall (WAF) en blokkeer het uitvoeren van php-bestanden in de uploads-map.
Houd WordPress, thema's en plug-ins up-to-date en verwijder ongebruikte software.
Zorg voor goede back-ups die buiten de eigen webserver worden bewaard.
Bij een vermoeden van misbruik moet de website direct in onderhoudsmodus worden geplaatst. Het advies is dan om een schone back-up terug te zetten, het systeem volledig te updaten en alle wachtwoorden onmiddellijk te wijzigen.
Advies voor websitebezoekers
Voor internetgebruikers geldt een simpel advies: een browser update zichzelf nooit via een melding op een willekeurige website. Updates voor webbrowsers verlopen uitsluitend via de ingebouwde instellingen van de browser zelf of via de officiële app-stores. Wie tijdens het surfen een pagina te zien krijgt die vraagt om een browserupdate te downloaden, moet de pagina direct sluiten en de website verlaten.
Meer over cms
Over Witold Kepinski
