Schurq

Hackers scannen op internet actief naar nog niet afgeronde WordPress installaties

|
Leestijd minuten
Door Patrick Schokker

Hackers scannen op internet actief naar nog niet afgeronde WordPress installaties

 

Nog niet afgeronde WordPress installaties zijn steeds vaker doelwit van hackers. Ben je momenteel bezig met het bouwen van een nieuwe WordPress site, zorg dan dat je de juiste maatregelen neemt. We zien namelijk steeds vaker dat hackers actief het internet afscannen op zoek naar nog niet afgeronde WordPress installaties om die vervolgens eenvoudig over te nemen.

Let op de pagina /wp-admin/setup-config.php

Wanneer je WordPress op je server hebt geïnstalleerd, moet de website zelf natuurlijk nog geconfigureerd worden. Daarvoor is de standaard pagina /wp-admin/setup-config.php bedoeld. Via de eenvoudige interface op deze pagina kun je de website heel makkelijk configureren; zo kun je bijvoorbeeld de databasenaam, de databaselocatie, je gebruikersnaam en je wachtwoord invoeren. Wat we zien is dat hackers de laatste tijd actief op zoek gaan naar deze pagina. Wanneer je de website niet op de juiste manier hebt geconfigureerd, breken ze in en nemen op die manier mogelijk je hele hosting over; in mei en juni alleen al zijn er duizenden scans uitgevoerd.

“Zodra een aanvaller beheerderstoegang tot een WordPress website heeft die op jouw hostingaccount draait, kan hij willekeurige php-code op je hostingaccount uitvoeren,” legt Mark Maunder van securitybedrijf Wordfence uit. Dat maakt het voor de aanvaller ook mogelijk om andere websites over te nemen die vanuit dat account worden gehost.

Hoe werkt deze aanval op nog niet afgeronde WPsetup

Wanneer je WordPress op je server installeert, selecteer je eerste de gewenste taal. Na een welkomstboodschap wordt er gevraagd om een database naam, gebruikersnaam, wachtwoord en server in te voeren. Hele simpele handelingen, maar die veel mensen niet direct na de installatie uitvoeren. Zo blijven er als het ware halve installaties online staan. Wanneer een hacker de nog niet afgeronde WPsetup op het internet tegenkomt, is het heel eenvoudig voor de hacker om door de eerste twee stappen heen klikken en vervolgens de eigen database server informatie te invoeren.

Wanneer een hacker dit doet, zal Wordpress bevestigen dat het met de database van de hacker kan communiceren. De hacker zal de installatie afronden en de informatie invoeren om het eerste admin-level account aan te maken. Dat doet hij natuurlijk met zijn eigen accountinformatie. Nu is Wordpress geïnstalleerd en het admin account aangemaakt. Zo kan de hacker dus gewoon op jouw WordPress installatie inloggen.

Niet afgeronde WordPress installaties beschermen

Wil je voorkomen dat je het slachtoffer wordt van deze WPSetup aanval, dan kun je twee dingen doen:

1. Na het installeren DIRECT de installatie stappen doorlopen en voltooien.

2. Voor het installeren van WordPress installaties een .htaccess bestand aanmaken met de volgende code:

order deny,allow

deny from all

allow from <your ip>

Vervang  <your ip> door je eigen IP-adres

Deze code zorgt er voor dat alleen jij toegang hebt tot je website tijdens het installeren van WordPress. Zodra je de installatie hebt voltooid, kun je de .htaccess regel weer verwijderen.

Bij Searchuser zorgen wij er ten alle tijden voor dat wij de installaties altijd meteen afronden. Deze controle voeren wij ook uit bij websites die wij naar onze omgeving toe verhuizen.

Deel dit artikel via
Patrick Schokker
Patrick Schokker

Over deze schurq

Algemeen Directeur

Lees ook
|
Chantal Tol
|
5 minuten

The Cookieless Era (4/4): de Facebook Conversion API

|
Chantal Tol
|
5 minuten

Blogreeks (4/9): De Omnichannel Ads Funnel

|
Chantal Tol
|
4 minuten

The Cookieless Era (3/4): server-side tagging