Populært WordPress-plugin hacket – er du ramt?
Det er ikke en nyhed, at hackere forsøger at få adgang til WordPress-websites særligt gennem usikkerheder i plugins. Ifølge sikkerhedspluginet WordFence er mere end halvdelen af alle hackerangreb på WordPress-websites sket via et plugin:
Kilde: Wordfence
Denne gang er det gået ud over et populært plugin, som hjælper virksomheder med at overholde kravene fra GDPR.
Efter sikkerhedshullet blev opdaget, blev pluginet fjernet fra WordPress’ pluginarkiv den 7. november. Kort tid efter blev den nyeste version dog udgivet i version 1.4.3, hvor sikkerhedshullet er lukket igen. Version 1.4.3 er allerede downloadet mere end 100.000 gange.
Opdater WP GDPR Compliance med det samme
Det er altså pluginet WP GDPR Compliance, som har skabt problemer for mange hjemmesideejere. Har du pluginet installeret på din WordPress-hjemmeside, er det vigtigt, at du får opdateret pluginet med det samme. Den nyeste version af pluginet er i skrivende stund version 1.4.3. Alle versioner fra 1.4.2 og nedefter er fortsat i risikozonen – og opdaterer du ikke, er det kun et spørgsmål om tid før hackerne finder frem til din hjemmeside.
Heldigvis har mange brugere allerede opdateret pluginet. Det afslører grafen for downloads pr. dag, hvor grafen peaker den 8. november med mere end 28.000 downloads samme dag. Sidst downloads pr. dag oversteg 1.000 downloads var i perioden, hvor GDPR trådte i kraft.
Kilde: WordPress.org
Tjek om du er ramt
Du kan tjekke om dine data er blevet kompromitteret ved at tjekke de registrerede brugere på din hjemmeside – særligt brugere med administratorrettigheder. Som Search Engine Journal skriver og viser med nedenstående billede, så har en WordPress-websiteadministrator opdaget, at der er oprette to brugere med administratorrettigheder. Med administratorrettigheder kan disse nye brugere gøre lige hvad de vil med hjemmesiden, se data på andre brugere m.m.
Kilde: Search Engine Journal
Ifølge Wordfence har hackerne udnyttet mulighederne for at ændre indstillingerne for, hvem der kan registrere sig på en side samt ændret standardrollen til at være Administrator. Ved at gøre dette, kan hackerne oprette nye brugere ved at gå til ditdomæne.dk/wp-login.php?action=register. Test det selv – kan du via førnævnte url oprette en ny bruger?
Der er også set filer med navnet wp-cache.php, som skaber en bagdør til at hackerne kan uploade malware til dit webhotel og WordPress-installation.
Er du blevet ramt?
Mange WordPress-websites indsamler persondata – særligt webshops kan have store mængder af persondata gemt, men også websites med kontaktformularer indsamler persondata. Indsamler du persondata via dit website, er der altså tale om et databrud, hvis du er blevet ramt af hackerangrebet.
Er du blevet ramt af hackerangrebet, har du ifølge GDPR underretningsforpligtelser. Er du dataansvarlig betyder det, at du skal oplyse tilsynsmyndigheden (Datatilsynet) inden for 72 timer efter du fik kendskab til bruddet. Her skal du give en beskrivelse af databruddet, angive hvor mange personer, der er berørt, og beskrive mængden af data, der er omfattet. Endeligt skal du også beskrive de planlagte handlinger, der skal gennemføres efter databruddet.
Ud over Datatilsynet skal du også underrette de personer, som er berørt af databruddet – altså de personer, hvis data er omfattet. Dette gælder dog ikke, hvis den pågældende data er offentligt tilgængelige.
Er du i tvivl, så tag et kig på Datatilsynets vejledning om håndtering af brud på persondatasikkerheden.
Optimer sikkerheden på din WordPress-hjemmeside
Der er mange forskellige sikkerhedsforanstaltninger, som du kan implementere på din WordPress-hjemmeside. Helt grundlæggende er det vigtigt, at du holder din WordPress-installation, tema og plugins opdaterede. Særligt plugins skaber en sikkerhedsrisiko, som du kan se på billedet fra Wordfence, som jeg viste i starten af dette indlæg.
Hackerne går ofte efter populære plugins, da de dermed kan skabe adgang til mange forskellige sider. HackRead fortæller, at i oktober 2017 blev der opdaget sikkerhedshuller i tre populære plugins (Appointments, Flickr Gallery og RegistrationMagic Custom Registration Forms), som påvirkede 21.000 hjemmesider.
I december 2017 gik det ud over pluginet WordPress Captcha, som påvirkede mere end 300.000 hjemmesider.
Du kan læse flere gode sikkerhedsråd i disse artikler:
- Er din WordPress-hjemmeside sikker?
- Stort sikkerhedshul: Alle kan se dit WordPress-brugernavn
- Løft sikkerheden på din WordPress-side med 2-trinsbekræftelse fra Google
- GDPR og WordPress
Slip bekymringerne – få en WordPress-serviceaftale
Som skrevet er en stor del af sikkerhedsarbejdet med en WordPress-hjemmeside, at holde WordPress, tema og plugins opdaterede. Selvom det lyder simpelt, oplever vi, at der er mange, der ikke får det gjort. Derfor tilbyder vi, at vi tager ansvaret for at holde din hjemmeside opdateret – og derudover tager vi backup, så du altid har en sikkerhedskopi.
Som i tilfældet med WP GDPR Compliance-pluginet, har hackerne kunne oprette brugere med administratorrettigheder på de ramte WordPress-sider. Med en administratorrolle kan hackerne altså gøre lige hvad de vil – fx at slette data eller slette layout og indhold på siderne. Med en sikkerhedskopi vil det tabte kunne gendannes.
Læs mere om vores WordPress-serviceaftale her, eller kontakt os via formularen herunder.
DK-31929407