Het is donderdagavond en omdat ik morgen een drukke dag heb check ik nog even mijn mail voordat ik in slaap val even rond middernacht. Twee nieuwe berichten over een ingelogde beheerder op een website die ik beheer. Maar ik ken de beheerder niet en ze loggen in vanuit Rusland. Direct gaan bij mij alle alarmbellen rinkelen, want dit hoort niet te kunnen. In ieder systeem dat ik gebruik (meestal Wordpress of Joomla) ken ik de beheerders en die komen allemaal vanuit Nederland. En voor deze site weet ik het zeker. Wat nu?
Ik log in op de website en zie inderdaad dat er twee nieuwe beheerders zijn aangemaakt met hele rare namen. En dat ze ingelogd zijn (geweest). Actie 1: de beheerders verwijderen, actie 2, alle plugins op de site nalopen en actie 3, kijken of er misbruik is gemaakt van de toegang. De eerste 2 acties waren in een vloek en zucht gebeurd, maar de derde actie kostte al snel anderhalf tot 2 uur om alles na te lopen. Gelukkig was ik er snel bij en heb ik erger kunnen voorkomen. Maar wat is er nu gebeurd?
We, want ik beheer deze site niet alleen, gebruikte op deze site een algemene plugin om de AVG-boodschap te tonen onderaan de site. Die plugin is veel gebruikt (bijna 100.000 actieve sites maakte gebruik van die plugin) en blijkbaar was hij een dag eerder van de Wordpress site gehaald ivm een groot veiligheidslek. Een dag later was dat lek gedicht en konden gebruikers die plugin updaten. Nu is het zo dat een Wordpress site meestal zo’n 5-10 plugins heeft draaien die worden een paar keer per maand geüpdatet dus eigenlijk zou je dagelijks moeten inloggen om de plugins te updaten. En dat doet niet iedereen, maar ik probeer iedere week alles sites te updaten. In dit geval was ik er snel mee en heb ik om 18 uur de site geüpdatet. Maar het kwaad was al geschiet, want door het lek werden er in de middag rond half 3 twee nieuwe accounts geautomatiseerd aangemaakt. En daardoor konden de indringers in de weer-up-to-date-site inloggen rond middernacht.
Het heeft me aardig wat nachtrust gekost, maar was heel blij dat ik er zo snel bij kon zijn, want uiteindelijk hebben duizenden sites er wel problemen mee gehad omdat ze er te laat bij waren. En die sites zijn op allerlei verschillende manieren misbruikt, zoals ik in een eerder blog al eens vertelde. Gelukkig bleef de schade beperkt, maar het belang van regelmatig updaten is weer eens bewezen. Al moet ik eerlijk zeggen: zo’n groot veiligheidslek zie je niet vaak, zeker niet zonder grote aankondiging vooraf. Gelukkig!
Meer info over deze hack kun je hier vinden.