WordPress, WordFence en mislukte inlogpogingen: waarom nu opeens en masse?

Sinna · 19 feb 2020, 09:28

Sinds gisterenavond krijg ik om de haverklap meldingen dat er vanaf diverse IP-adressen inlogpogingen zijn als gebruiker 'admin' op één van de websites die ik in beheer heb. Uit veiligheidsoverwegingen bestaat de gebruiker 'admin' niet.

De website zelf is voor zover ik weet niet zo bekend en heeft op zich een beperkt bereik.
Ik vind het daarom vreemd dat nu opeens hopen inlogpogingen komen en van IP-adressen wereldwijd.

Wat mis ik? Is er een website waarop lijsten staan van websites die mogelijks eenvoudig over te nemen zijn?
Ik leer graag bij...

tien · 19 feb 2020, 09:33

In de loop van de week (gisteren of eergisteren) nog eens een bericht over vulnerability in bepaalde plugins. Mogelijk dat er daarmee weer eens veel pogingen zijn.

edit:
https://www.techzine.be/nieuws/security ... -websites/

Sinna · 19 feb 2020, 09:37

Klopt, had ik ook gezien en nav. deze melding dit nagekeken.
Desondanks blijf ik het vreemd vinden dat een website met zo weinig bereik opeens zo aantrekkelijk wordt...

cyberbug · 19 feb 2020, 09:56

Dit is gewoon een hacerks/scammers groep die je webhosting/domain wil gebruiken om spam me te versturen en/of scam sites te hosten.

eerst doen ze via een speciale google zoek opdracht een zoektocht naar wordpress sites.
de lijst word dan via een botnet afgescanned op exploits of via bruteforce gepooged een admin login te bekomen.
eens binnen via admin of exploit gaan ze dan malafide plugins installeren omzo een backdoor te installeren wardoor ze je hosting (en eventueel domain) kunnen gebruiken voor malafiede zaken.

voor zulke groepen zal het worst wezen of de site populair is of niet.
ook zullen de pogingen van gans de wereld lijken te komen omdat dit via een botnet loopt...

tien · 19 feb 2020, 10:04

Is hoogst waarschijnlijk niet gericht maar gewoon scannen. Zeer veel wordpress sites zijn helaas adminloos dus verwacht wel veel succes.
Eens ze weten dat je wordpress (of eender welke andere gebruikt) komen ze wel regelmatig kloppen.

rant tov de adminloze wp sites maar verwijderd, hoor je duidelijk niet toe

Sinna · 19 feb 2020, 10:12

Ook DataNews schenkt er aandacht aan: Lek in plug-in maakt 100.000 WordPress-sites onveilig.

on4bam · 19 feb 2020, 10:35

Op 2 WP sites die ik beheer zie ik niet direct een stijging van het aantal "attacks". Admin is een courante loginpoging maar die bestaat ook bij mij niet. Wat er wel veel gebeurt is proberen in te loggen met accountnamen van mensen die posts geschreven hebben. Ze staan allemaal gelogd met "wrong password". Niettegenstaande we al lang op WP zitten en onze Joomla site al meer dan een jaar niet meer actief is wordt nog steeds getracht naar specifieke joomla administrator URLs te gaan.

BTW, WPscan in een handige tool om lekke plugins op te sporen

19 feb 2020, 14:42

Niks om je zorgen over te maken, je site is gewoon ontdekt bij een select groepje.
IK heb een week of 2 geleden een Mikrotik CHR online gebracht, en krijg per minuut tientallen inlogpogingen. Meestal met root, admin, Administrator, UBNT, Support, support, Helpdesk en helpdesk als login.

CCatalyst · 19 feb 2020, 20:38

Je hebt idd enerzijds het constante achtergrondgeruis met pogingen, maar daarnaast heb je ook af en toe golven van extra activiteit. De reden daarvoor kan vanalles zijn, maar het is idd veelal doordat er net een nieuwe vulnerability gepubliceerd is waardoor ze nu meer kans maken op succes. Als ze niet binnen raken gaan ze meestal even snel weer weg als ze gekomen zijn. Niets om zorgen over te maken.

Website met weinig bereik is relatief. Wss sta je wel gemarkeerd in een databank als zijnde een Wordpress site, meer is er niet nodig. Geef op Shodan maar eens het IP in.

Sinna · 25 feb 2020, 10:18

Bedankt voor de reacties. Ik heb me blijkbaar veel zorgen om weinig gemaakt.
Ondertussen heeft WordFence er zelf een blogartikel aan gewijd, zie Multiple Attack Campaigns Targeting Recent Plugin Vulnerabilities.

Sinna · 08 mei 2020, 10:32

Ik rakel deze draad toch even weer op.
Ik krijg nl. sinds gisteren verschillende inlogpogingen met peter.heldens of [email protected] als gebruikersnaam.
Die Peter Heldens blijkt effectief te bestaan, zie https://www.microsoft.com/nl-nl/overned ... cb72d9fbdf.
Anderen die dit fenomeen ervaren?

svermassen · 08 mei 2020, 10:44

Bij verschillende Joomla!-sites merk ik de laatste maand ook een opstoot van zowel inlogpogingen als hack-pogingen.
Tevens pogingen tot misbruik van formulieren.
Die zijn goed beveiligd, maar ik zie dat in de loggins.

08 mei 2020, 10:59

Oorzaak = er zitten teveel script kiddies zich thuis te vervelen?
Hacking farms die terug opstarten in bvb China na lockdown?

konda · 08 mei 2020, 11:04

Ik heb het zelfde mogen merken, heb er een bij ovh waar ik dan een feliciterend mailtje van krijg dat men site plots zo populair is.

CCatalyst · 08 mei 2020, 12:33

Gebruikelijk zie je een piek kort nadat er details over een een nieuwe vulnerability gepubliceerd zijn, omdat het dan ook het meest productief is om die pogingen te ondernemen.

devilkin schreef:Hacking farms die terug opstarten in bvb China na lockdown?

De gespecialiseerde draaien al een tijdje weer in China. De geautomatiseerde zijn nooit gestopt.

Sinna · 08 mei 2020, 12:48

Misschien licht off-topic, maar heeft er iemand een (liefst gratis) WP-plugin die emailadressen zo de nek kan omdraaien dat ze niet meer machine-readable zijn maar wel nog human-readable (al dan niet met JavaScript)?
De meeste plugins die ik vind vervangen de mailto:-url door de HTML-encodering maar dat is dus maar schijnveiligheid.

Email Address Encoder ziet er veelbelovend uit, maar enkel in de premium-versie: $14 / site / jaar of eenmalig $69 / site vind ik nog redelijk, maar als je meerdere sites hebt loopt dat toch snel in de papieren. Eenmalig $295 lijkt mij dan weer behoorlijk aan de prijs.

on4bam · 08 mei 2020, 13:24

Ik zie soms een hogere activiteit maar registreren lukt meestal niet. Aangezien registraties moeten goedgekeurd worden kan er weinig gebeuren. Zo 1tje per maand of twee is vlug verwijderd.
Ik zie wel regelmatig dat rechtstreeks URLs worden aangesproken, meestal om pas ontdekte gaten te misbruiken. Ik zie na bijna 2.5 jaar nog geprobeerd wordt om naar oude en dus onbestaande Joomla URLs te gaan.

thomasv · 08 mei 2020, 20:37

Sinna schreef:Misschien licht off-topic, maar heeft er iemand een (liefst gratis) WP-plugin die emailadressen zo de nek kan omdraaien dat ze niet meer machine-readable zijn maar wel nog human-readable (al dan niet met JavaScript)?
De meeste plugins die ik vind vervangen de mailto:-url door de HTML-encodering maar dat is dus maar schijnveiligheid.

Email Address Encoder ziet er veelbelovend uit, maar enkel in de premium-versie: $14 / site / jaar of eenmalig $69 / site vind ik nog redelijk, maar als je meerdere sites hebt loopt dat toch snel in de papieren. Eenmalig $295 lijkt mij dan weer behoorlijk aan de prijs.

Cloudflare verbergt e-mail adressen.
Alternatief is contact formulier (aanrader, maar uiteraard te combineren met anti-spam maatregelen).

Login pogingen kan je extra te lijf gaan met 2 factor authenticatie plug-in. Zelfs al raden ze je wachtwoord (via brute force), dan worden ze nog gestopt.