WordPress-sajter hackade med ISIS-hälsning via säkerhetshål i plugin

Igår kväll fick vi kännedom om att vår kund Stockholm Västerås Flygplats hade fått sin webbplats hackad. Expressen och VLT uppmärksammade nyheten. Det hela är nu föremål för polisutredning och leverantören av webbplatsen såg till att meddelandet från ISIS plockades bort så fort polisen gav klartecken att de hade vad de behövde.

Varning för Fancy box!

Ikväll kunde vi läsa att även Expressens webbplats Mitt kök har hackats och med exakt samma meddelande som då lagts upp på startsidan. Även den webbplatsen är gjord i WordPress. Och en annan gemensam nämnare är ett plugin/tillägg som heter Fancy Box for WordPress. Och som det verkar så är det just via detta tillägg som intrången görs av denna hacker. Så vi vill därför uppmana alla som har Fancy Box installerad på sin WordPress-sajt att antingen ta bort den eller åtminstone uppgradera till den senaste versionen för att undvika att riskera att få samma meddelande på förstasidan som Västerås Flygplats  och Mitt Kök fick.

Uppdatera tillägget Fancy Box for WordPress

Gör så här för att uppdatera tillägget Fancy Box for WordPress till den senaste versionen:

  1. Från din Adminpanel, gå till Adminpanel → Uppdateringar (”dinwebbplatsadress/wp-admin/update-core.php”)
  2. Skrolla ner till avsnittet med Tillägg.
  3. Markera kryssrutan för “Fancybox-for-WordPress” tillägget i listan och klicka på ”Uppdatera tillägg”.
  4. Nya versionen av tillägget laddas nu ner och installeras. Detta kan ta en stund beroende på din uppkoppling och trafiken till nedladdningsservern. Invänta tills meddelandet om att installationen är utförd dyker upp innan du stänger fönstret eller går någon annanstans.

Om du inte kan installera tillägget automatisk kan du hämta hem det och installera det manuellt via tilläggets sida på wordpress.org.

Den facebook-profil som syntes i meddelandet från ISIS både på Västerås Flygplats och Mitt Köks webbplatser var en Mohammed Aljzairi (fb.com/100008945136328). Och på hans profil kunde man ännu igår kväll läsa om hur han skryter med alla WordPress-sajter som har hackats. Av profilen att döma är han en supporter av ISIS. Men hans Facebookprofil finns ej längre kvar nu. Kanske Facebook som plockat ner den eller han själv som raderat den. I någon mening går han iaf ISIS ärenden genom att spä på den skräck som många känner inför organisationen. Om han dessutom är kopplad till dem på riktigt kommer väl den kommande polisutredningen tillsammans med Facebook att kunna ta reda på.

Här kan man läsa Vaultpress varning för Fancy Box från i förrgår.

Ett bra generellt tips för att vara skyddad mot både större och mindre intrång är att alltid se till att ha de senaste versionerna installerade av WordPress och de plugins ni använder.

Det är ju extra obehagligt när det är just en flygplats som får ett meddelande som ser ut att vara från den fruktade organisationen som sprider skräck hos många just nu. Men som flygplatsen själva gått ut med så finns inget särskilt hot riktat mot dem just nu.

/ Daniel Erkstam

Update: Våra kunniga kollegor och kodar-ninjas i systerbolaget Interactive Sollutions har nu förklarat för oss att detta ”hack” var rätt så enkelt gjort och väldigt ytligt. Denna sida förklarar exakt hur det gick till. Och det är inte särskilt svårt att hitta WordPress-sidor som har detta plugin installerat. Och en googling visar att det är några fler sajter som har drabbats. Ett par har även det samma meddelandet kvar på sajten.