- Door
- Edwin Feldmann
- geplaatst op
- 28 oktober 2011 08:04 uur
Daarvoor waarschuwen beveiligingsexperts van Symantec in het maandelijkse Intelligence Report van de maand september.
Spammers hebben een manier gevonden om bij oudere versies van WordPress een lek te misbruiken. Dit geeft ze toegang tot de webserver en stelt ze in staat een bestand diep in de bestandsstructuur van de WordPress-site te plaatsen. Aangenomen wordt dat dit laatste gebeurt om ontdekking van de hack te voorkomen.
Doorsturen
Spammers plaatsen doorgaans een eenvoudige html-pagina in de WordPress-map met een tekst als ‘Page loading’. Dit wordt kort getoond waarna de bezoeker via een HTTP ‘meta refresh’-code wordt doorgestuurd naar een spammerssite over medicijnen of iets dergelijks.
In sommige gevallen had het html-bestand dat door de spammer op de server was gezet een deel van de naam van de website in zich. Zo constateerde Symantec dat bijvoorbeeld dat een domeinnaam die begint met ‘mattjo’, door een spammer voorzien was van een html-bestand met de naam mattj.html in zich.
Duizenden websites
Volgens Symantec werden in september in een periode van 48 uur enkele duizenden WordPress-sites op die manier door spammers misbruikt.
Howel Symantec de precieze zwakke plek die bij deze aanval misbruikt wordt, nog onderzoekt, gaat het bedrijf ervan uit dat de truc alleen werkt bij oudere versies van het WordPress-cms. Het is nog niet helemaal duidelijk welke versies kwestbaar zijn voor deze aanval. In ieder geval lijken de sites die bij WordPress.org draaien en de meest actuele versie van WordPress (3.2.1) niet kwestbaar.