De worm dringt binnen door zichzelf als gebruiker aan te melden. Vervolgens wordt een oud gat, dat eerder dit jaar werd gerepareerd, misbruikt om code uit te voeren via de permalinkstructuur. Dit stelt de aanvaller in staat om administrator van het cms te worden.

Via JavaScript wordt gezorgd dat de nieuwe 'admin' niet zichtbaar is op de gebruikerspagina. "Daarna verdwijnt de worm naar de achtergrond zodat je nooit in de gaten hebt dat er spam en malware in oude blogposts wordt geïnjecteerd", schrijft Wordpress medwerker Matt.

Stille worm

De gevolgen voor bloggers zijn niet gering. Omdat er malware en spam wordt geplaatst op de site verdwijnt de pagina uit Google, die zoekmachine weigert namelijk geïnfecteerde pagina's. Ook zijn alle links die een blogger heeft aangebracht onbruikbaar geworden.

Daarmee slaan de wormmakers een nieuwe weg in. Voorheen werden exploits misbruikt om een groot aantal sites te defacen, nu wordt eerder geprobeerd om stil te werk te gaan. "De nieuwe wormen zijn stil en onzichtbaar, dus je merkt ze alleen op als ze in de fout gaan."

Altijd upgraden

Wordpress drukt iedereen op het hart om altijd te upgraden. Voorheen was dat een redelijk moeizame aangelegenheid. Volgens de blogbouwers is daar een eind aan gekomen met de automatische upgrade-plugin. Het repareren van een gehackt blog is volgens Wordpress vergelijkbaar met hartchirurgie.

In de omschrijving van de plugin is wel een slag om de arm gehouden, de tweede zin luidt: "Automatische upgrades mislukken soms, dus denk eraan om eerst een backup te maken van je database en plugins te de-activeren vóór de upgrade."

Ex-Microsoftblogger

Voormalig Microsoftblogger en zelfbenoemd Web 2.0-goeroe Robert Scoble was slachtoffer van de worm. "Eerst dacht ik dat er alleen wat pornosites werden achtergelaten in een paar blogposts", blogt Scoble. "We verwijderden het nep adminaccount, verwijderden de pornosites en dachten dat we het probleem hadden opgelost."

"Dat was niet het geval. Er werd opnieuw ingebroken en deze keer was er veel meer schade. Ze verwijderden ongeveer twee maanden van mijn blog." Scoble bekent dat hij geen backup van zijn berichten had.

Reparatie

Versie 2.8.4, de nieuwste versie van Wordpress, is immuun voor de worm. Wordpress wijst erop dat er ook 'alternatieven' in omloop zijn om het probleem op te lossen. Die moeten worden genegeerd: "De enige oplossing waarmee ik kan garanderen dat je blog nu en en in de toekomst veilig blijft, is upgraden", blogt Matt in vetgedrukte tekst.

Wordpress is een gratis open source blog-cms gebaseerd op MySQL en php. Het is sinds begin 2003 erg populair geworden, maar wordt ook steeds vaker aangevallen. Het nu misbruikte gat werd begin augustus al gerepareerd.