Aanvallers hebben geprobeerd om via een grootschalige aanval de databasewachtwoorden van 1,3 miljoen WordPress-sites te stelen. De aanvallers maakten daarvoor misbruik van kwetsbaarheden in verouderde plug-ins en themes waarmee het mogelijk is om WordPress-bestanden te exporteren of downloaden.

Daarbij hadden de aanvallers het specifiek voorzien op het bestand wp-config.php. Dit bestand bevat gevoelige informatie zoals WordPress-databasenaam, gebruikersnaam, wachtwoord en hostnaam. Ook bevat het de WordPress "Authentication Unique Keys and Salts" waarmee het mogelijk is om authenticatiecookies te vervalsen. Met de informatie uit het php-bestand is het mogelijk om volledige controle over de WordPress-site te krijgen.

Volgens securitybedrijf Wordfence zijn de aanvallen zichtbaar in de serverlogs van aangevallen WordPress-sites. Daarnaast heeft het securitybedrijf de tien ip-adressen genoemd die voor de meeste aanvallen in deze campagne verantwoordelijk zijn. Gebruikers van gecompromitteerde websites krijgen het advies om meteen hun databasewachtwoord en authenticatie keys te wijzigen.

Alles bij de bron; Security