WordPress-plugin hackade – så kontrollerar du om du är drabbad

5 WordPress-plugin har blivit hackade och över 36 000 hemsidor riskerar att bli infekterade i en supply chain-attack. Såhär kan du snabbt kontrollera din egen webbplats.

Wordpress-plugin hackade - så kontrollerar du om du är drabbad
  1. WordPress-plugin hackade
  2. 5 plugins som är infekterade
  3. Vad kan jag göra själv?
  4. Vad vi gör just nu
  5. Vad är ”backdoor”?

WordPress-plugin hackade

Under måndagen 24 juni 2024 uppmärksammade Wordfence en backdoor-attack mot flera WordPress-plugin. De fann skadlig kod i uppdateringar för plugin som vid tillfället var tillgängliga från WordPress officiella hemsida.

Den skadliga koden skapar automatiskt en användare med admin-rättigheter som ger hackarna full kontroll av webbplatsen. Man har även upptäckt fall av skadlig JavaScript-kod i sidfoten som fyller sajten med spaminnehåll.

För dig som är orolig kan nedan se vad som är drabbat och hur du själv snabbt kan kontrollera om du har fog för din oro.

5 plugin som är infekterade

Fem stycken plugins, som tillsammans har över 36 000 nedladdningar, har blivit identifierade som komprometterade. För att förhindra fler intrång har de blivit tillfälligt avstängda.

Kontrollera ifall du har någon av dessa installerade på din sajt:

social-warfare hacked

Vad kan jag göra själv?

Du som är kund hos oss är alltid välkommen att kontakta vår support under öppningstiderna. I det aktuella fallet finns dock ett snabbt och enkelt sätt att själv kolla huruvida du är drabbad.

Här är tre saker att hålla utkik efter:

  • Kolla dina plugin: Börja med att kolla ifall du har något av ovan nämnda plugin installerade på din webbplats.
  • Inventera dina användare: Gå till din adminpanel och klicka dig vidare till Användare i menyn till vänster. Inventera dina användare: Finns det någon med suspekt namn som heter ”wpcron<TECKENOCHSIFFRORHÄR>”? Siffornas längd kan variera, men användaren verkar alltid vara registrerad 1979-01-01.
  • Rådfråga vårt säkerhetsprogram: Gå in i cPanel och vidare till Imunify. Under fliken History kan du se om du fått några träffar det senaste. Om du ser filer från mappen ”.cagefs/tmp” är det ett tecken på att du drabbats av den nuvarande vågen. Kolla om du får någon träff alls från den senaste veckan. Se vilken fil som markerats som infekterad den senaste veckan, undersök det närmre och vid behov kan du kontakta vår support för hjälp att tolka varför filen flaggats av Imunify.

Om du har hittat konstiga användare eller filer i mappen så kan du rensa bort alla användare som du inte känner igen.

Om du tror att en användare inte är någon som bör ha access (wpcron i namnet, konstiga domänadresser etc) – ta hellre bort dem och lägg sedan till dem igen om det blivit fel. Det tar minuter att lägga till nya användare, medan det kan ta dagar att rensa skadlig kod.

Vad vi gör just nu

Vi vill uppmärksamma att de som har Managed WordPress, där vi uppdaterar, optimerar och övervakar webbplatsen, och är drabbade har blivit kontaktade av oss. Vi jobbar just nu med att rensa dessa konton.

Under den närmsta tiden kommer vi löpande att scanna våra servrar efter suspekta användare. Vi kontaktar dig via ditt kundkonto om vi skulle hitta något.

Vad är ”backdoor” eller bakdörrsvirus?

En ”backdoor”, eller bakdörrsvirus, är ett sätt att komma in i ett system utan att behöva logga in. Det är en typ av virus som syftar till att ge hackaren tillgång till dina system utan att gå igenom de normala säkerhetsåtgärderna. I det här fallet har hackarna använt sig av existerande WordPress-plugin som ”bakdörren” att komma in genom.

Den kan drabba dig som användare genom ett flertal olika sätt, bl.a. genom phishing eller genom att utge sig vara ett legitimt program, en så kallad trojan.

Och hur fungerar det i en supply chain-attack?

En supply chain-attack, eller direktöversatt en attack mot leverantörskedjan, är ett sätt för att komma åt känslig information via en pålitlig källa. På så sätt är det större chans att den drabbade är mindre alert på vad som sker.

Det kan vara, som i det aktuella fallet, att angriparna riktar in sig på ett plugin. När skadlig kod skrivs in i den programvaran skickar de ut en uppdatering till dig och alla andra som använder programmet (eller pluginet). När du ser att det finns en uppdatering tänker du såklart inte att det är något konstigt: Du litar ju på källan, det har ju trots allt fungerat fläckfritt innan och det brukar vara säkert. Et voilá – hackarna har getts tillgång till dina system och din information. Hackade WordPress-plugin behöver därefter rensas.

Målet är alltså inte nödvändigtvis den initialt hackade leverantören, utan deras kunder i sin tur. Ett effektivt fulknep, eftersom de på så sätt kan angripa fler med mindre ansträngning.