WordPress Attack Activity Report Februari 2017

WordPress Attack Activity Report Februari 2017WordPress Attack Activity Report Februari 2017

Op 2 maart 2017 is het WordPress Attack Activity Report Februari 2017 beschikbaar gekomen. Dit is de derde in een reeks van maandelijkse aanvals rapporten die het beveiligingsbedrijf Wordfence introduceerde aan het eind van december. De rapporten tonen de huidige trends in WordPress aanvallen.

Nieuw in dit rapport is een nieuwe vorm van analyse van de top 25 aanvallende IP’s, de zogenaamde topologie analyse. Ze hebben deze techniek gebruikt om groepen van IP-adressen, die onderling samenwerken, te identificeren. Het is een leuke visuele vorm van analyse en het is een krachtige manier om de gegevens te analyseren.

Meest actieve IP’s

Het rapport bevat een aantal tabellen. De eerste tabel laat de 25 meest actieve aanvals IP’s zien. Hierbij wordt onderscheidt gemaakt in ‘brute-force’ aanvallen en ‘complexe’ aanvallen. De eerste categorie probeert de login gegevens te raden. De tweede categorie zijn aanvallen die werden geblokkeerd door een regel in de Wordfence firewall.

In de eerste tabel wordt ook de netblock eigenaar vermeld. Dit is de organisatie, meestal een bedrijf, dat eigenaar is van het blok van IP-adressen die bij de aanval hoort. Voor Nederland zijn dat Hostkey B.v. (4x), ServerKing B.V. (1x), Foxcloud LLP (1x).

Uit de tabel is af te leiden dat 9 aanvals IP adressen van dezelfde provider komen. Dit blijkt de Turkse provider “Ideal Hosting” te zijn. Zij bieden ‘managed services’ aan. Waarschijnlijk heeft een van de onderhuurders de beveiliging op orde. Waarschijnlijk doet dit probleem zich ook voor bij de Nederlandse provider “Hostkey”. Hier komen 6 aanvals IP adressen voor.

De topolgie analyse toont aan dat IPs van de twee meest productieve hosting providers zich gedragen als een groep en waarschijnlijk gecontroleerd worden door een enkele aanvaller.

In de grafiek ‘brute-force’aanvallen is een duidelijke stijging te zien en de grafiek ‘complexe aanvallen’ vertoont een licht daling.

Thema’s

De tabel aanvallen op WordPress thema’s laat weinig verandering zien. Op 1 staat nu “mTheme-Unus”.

Plug-ins

De grootste stijger in de plug-ins tabel is “wp-pagenavi” (van 45 naar 17). De plug-in “wp-ecommerce-shop-styling” heeft de eerste plek afgestaan aan “wp-symposium”.

Landen

In de tabel van de landen is de score:
1 (1) Rusland,
2 (5) Verenigde Staten,
3 (3) Frankrijk,
4 (2) Oekraïne,
5 (6) Turkije,
6 (7) Nederland.

Conclusie

In dit rapport heeft de nieuwe topologie analyse een uniek inzicht gegeven over hoe aanvallers zich over landen en hosting providers hebben verspreid. Verder was er een enorme piek in brute force-aanvallen in februari te zien en een lichte daling van het aantal complexe aanvallen. Er was weinig verandering in de aangevallen thema’s en een paar veranderingen bij de plugins.

Lees het volledige rapport op: https://www.wordfence.com/blog/2017/03/feb-2017-attack-report/


Wilt u advies over WordPress beveiliging? Gebruik dan ons contactformulier.