Aanvallers kunnen nieuwe WordPress-sites binnen 30 minuten vinden en in het ergste geval overnemen omdat de installatie nog niet is afgerond. Vorige maand waarschuwde securitybedrijf Wordfence voor aanvallen op nog niet afgeronde WordPress-installaties.
Na de installatie van WordPress op een server moet de website zelf nog worden geconfigureerd. Hiervoor is er de standaardpagina /wp-admin/setup-config.php. Aanvallers scannen actief naar deze specifieke pagina. In het geval ze deze pagina vinden kunnen ze de website overnemen. Tijdens de Def Con-hackerconferentie in Las Vegas liet onderzoeker Hanno Bock zien hoe aanvallers in 30 minuten nieuwe WordPress-sites kunnen vinden om vervolgens aan te vallen (pdf).
Een aanvaller kan namelijk van Certificate Transparency gebruikmaken. Dit is een open standaard waarmee de online gemeenschap uitgegeven ssl-certificaten kan monitoren. Zo kan bijvoorbeeld Facebook zien of iemand een ssl-certificaat voor één van hun domeinen heeft aangevraagd. Ook kunnen security-teams kijken of een certificaatautoriteit ten onrechte een certificaat heeft uitgegeven dat het niet had moeten uitgeven. Iedereen kan deze data, waaronder de domeinnaam, via Certificate Transparency inzien.
Bock demonstreerde dat 30 tot 60 minuten nadat een nieuw ssl-certificaat is uitgegeven, aanvallers dit via Certificate Transparency kunnen achterhalen. Dit biedt aanvallers een manier om nieuwe websites te vinden om vervolgens aan te vallen. In het geval van WordPress kan een aanvaller de website monitoren totdat de setuppagina beschikbaar wordt. Beheerders krijgen van Wordfence het advies om de ip-adressen te beperken die toegang tot de website hebben.
Bron: Security.nl