Cititorii ca tine ajută la sprijinirea MUO. Când efectuați o achiziție folosind link-uri de pe site-ul nostru, este posibil să câștigăm un comision de afiliat.
O nouă campanie SEO rău intenționată a compromis cu succes peste 15.000 de site-uri web WordPress. Scopul campaniei este de a redirecționa utilizatorii către site-uri de întrebări și răspunsuri false pentru a crește traficul vizitatorilor.
Peste 15.000 de site-uri WordPress compromise
Într-o nouă campanie de redirecționare cu pălărie neagră, hackerii au reușit să compromită peste 15.000 de site-uri web WordPress pentru a crește rangul motorului de căutare al diferitelor site-uri web false.
După cum se raportează în a Sucuri blog post, a existat o creștere vizibilă a site-urilor de redirecționare a programelor malware WordPress din septembrie 2022. Aceste site-uri de redirecționare duc utilizatorii către portaluri de întrebări și răspunsuri false, de calitate scăzută. Numai în lunile septembrie și octombrie, hackerii au reușit să vizeze cu succes peste 2.500 de site-uri.
Sucuri, un cercetător în securitate, a detectat până acum 14 site-uri web false, serverele lor fiind ascunse de un proxy. Întrebările afișate pe site-uri sunt preluate de pe alte platforme legitime de întrebări și răspunsuri. Cu un clasament SEO crescut, aceste site-uri pot ajunge la mai multe persoane.
Site-urile false de întrebări și răspunsuri pot răspândi programe malware
Site-urile false utilizate în această campanie de redirecționare sunt capabile să răspândească malware către vizitatori. Spre deosebire de multe site-uri rău intenționate, aceste forumuri de întrebări și răspunsuri false sunt capabile să modifice peste 100 de fișiere infectate pe site. Acest lucru nu se face adesea, deoarece face ca detectarea și încetarea lor să fie mai probabilă.
În postarea de blog menționată mai sus, Sucuri a declarat că majoritatea fișierelor infectate sunt WordPress de bază fișiere, dar a enumerat și o serie de fișiere care sunt cel mai frecvent infectate, toate având .php extensii. Lista fișierelor .php infectate este afișată mai jos:
- ./wp-signup.php
- ./wp-cron.php
- ./wp-links-opml.php
- ./wp-settings.php
- ./wp-comments-post.php
- ./wp-mail.php
- ./xmlrpc.php
- ./wp-activate.php
- ./wp-trackback.php
- ./wp-blog-header.php
Sucuri a subliniat, de asemenea, că malware-ul a fost găsit în unele nume de fișiere pseudo-legitime abandonate de hackeri înșiși, inclusiv:
- RVbCGlEjx6H.php
- lfojmd.php
- wp-newslet.php
- wp-ver.php
- wp-logln.php
Metoda de încălcare a hackerilor poate fi un plugin vulnerabil sau de forță brută
Sucuri nu a descoperit încă modul în care acești hackeri cu pălărie neagră încalcă aceste site-uri WordPress, dar se crede că un plugin vulnerabil sau un atac cu forță brută sunt cei mai probabil vinovați. Hackerii pot folosi un kit de exploatare pentru a căuta vulnerabilități de securitate din pluginuri pentru a evidenția o țintă. Alternativ, parola de conectare a administratorului site-ului WordPress ar putea fi spartă folosind un algoritm în a atac cu forță brută.
Site-urile WordPress sunt ținte comune de exploatare
Aceasta nu este în niciun caz prima dată când site-urile WordPress sunt vizate de actori rău intenționați. Milioane de site-uri WordPress au fost compromise de infractorii cibernetici în trecut și nu există nicio îndoială că multe altele vor continua să fie victime ale unor astfel de atacuri.