Læsere som dig hjælper med at støtte MUO. Når du foretager et køb ved hjælp af links på vores websted, kan vi optjene en affiliate-kommission.
En ny ondsindet SEO-kampagne har med succes kompromitteret over 15.000 WordPress-websteder. Målet med kampagnen er at omdirigere brugere til falske Q&A-sider for at øge besøgendes trafik.
Over 15.000 WordPress-websteder kompromitteret
I en ny sort hat-omdirigeringskampagne har hackere formået at kompromittere over 15.000 WordPress-websteder for at øge søgemaskinerangeringen af forskellige falske websteder.
Som rapporteret i a Sucuri blogindlæg, har der været en mærkbar stigning i WordPress malware-omdirigeringswebsteder siden september 2022. Disse omdirigeringswebsteder fører brugerne til falske spørgsmål og svar-portaler af lav kvalitet. Alene i løbet af september og oktober var hackere i stand til at målrette mod over 2.500 websteder.
Sucuri, en sikkerhedsforsker, har opdaget 14 falske websteder indtil videre, hvor deres servere er blevet tilsløret af
en proxy. Spørgsmålene, der vises på webstederne, er hentet fra andre, legitime Q&A-platforme. Med en øget SEO-placering kan disse websteder nå ud til flere individer.Falske Q&A-websteder kan sprede malware
De falske websteder, der bruges i denne omdirigeringskampagne, er i stand til at sprede malware til besøgende. I modsætning til mange ondsindede websteder, er disse særlige falske spørgsmål og svar-fora i stand til at ændre over 100 inficerede filer pr. websted. Dette gøres ikke ofte, da det gør deres opdagelse og opsigelse mere sandsynlig.
I det førnævnte blogindlæg udtalte Sucuri, at de fleste af de inficerede filer er kerne WordPress filer, men også listet en række filer, der er mest almindeligt inficerede, som alle har .php udvidelser. Listen over inficerede .php-filer er vist nedenfor:
- ./wp-signup.php
- ./wp-cron.php
- ./wp-links-opml.php
- ./wp-settings.php
- ./wp-comments-post.php
- ./wp-mail.php
- ./xmlrpc.php
- ./wp-activate.php
- ./wp-trackback.php
- ./wp-blog-header.php
Sucuri fremhævede også, at malware blev fundet at være til stede i nogle pseudo-legitime filnavne, som hackerne selv havde droppet, herunder:
- RVbCGlEjx6H.php
- lfojmd.php
- wp-newslet.php
- wp-ver.php
- wp-logln.php
Hackers brudmetode kan være et sårbart plugin eller brute-force
Sucuri har endnu ikke opdaget, hvordan disse black hat hackere bryder disse WordPress-websteder, men det menes, at et sårbart plugin eller brute-force-angreb er de mest sandsynlige syndere. Hackere bruger muligvis et udnyttelsessæt til at opsøge sikkerhedssårbarheder i plugins for at fremhæve et mål. Alternativt kan WordPress-webstedets administrators login-adgangskode blive knækket ved hjælp af en algoritme i en brute-force angreb.
WordPress-websteder er almindelige udnyttelsesmål
Det er på ingen måde første gang, at WordPress-websteder er blevet målrettet af ondsindede aktører. Millioner af WordPress-websteder er tidligere blevet kompromitteret af cyberkriminelle, og der er ingen tvivl om, at mange flere fortsat vil blive ofre for sådanne angreb.