Lesere som deg er med på å støtte MUO. Når du foretar et kjøp ved å bruke lenker på nettstedet vårt, kan vi tjene en tilknyttet provisjon.
En ny ondsinnet SEO-kampanje har vellykket kompromittert over 15 000 WordPress-nettsteder. Målet med kampanjen er å omdirigere brukere til falske spørsmål og svar-sider for å øke besøkstrafikken.
Over 15 000 WordPress-nettsteder er kompromittert
I en ny Black Hat-omdirigeringskampanje har hackere klart å kompromittere over 15 000 WordPress-nettsteder for å øke søkemotorrangeringen til forskjellige falske nettsteder.
Som rapportert i a Sucuri blogginnlegg, har det vært en merkbar økning i omdirigeringsnettsteder for malware i WordPress siden september 2022. Disse omdirigeringsnettstedene tar brukere til falske spørsmål og svar-portaler av lav kvalitet. Bare i løpet av september og oktober klarte hackere å målrette mot over 2500 nettsteder.
Sucuri, en sikkerhetsforsker, har oppdaget 14 falske nettsteder så langt, hvor serverne deres er skjult av en proxy
. Spørsmålene som vises på sidene er hentet fra andre, legitime Q&A-plattformer. Med en økt SEO-rangering kan disse nettstedene nå flere individer.Falske Q&A-nettsteder kan spre skadelig programvare
De falske nettstedene som brukes i denne viderekoblingskampanjen er i stand til å spre skadelig programvare til besøkende. I motsetning til mange ondsinnede nettsteder, er disse falske spørsmål og svar-forumene i stand til å endre over 100 infiserte filer per nettsted. Dette gjøres ikke ofte, da det gjør oppdagelsen og avslutningen mer sannsynlig.
I det nevnte blogginnlegget uttalte Sucuri at de fleste av de infiserte filene er kjerne WordPress filer, men listet også opp en rekke filer som er oftest infisert, som alle har .php utvidelser. Listen over infiserte .php-filer vises nedenfor:
- ./wp-signup.php
- ./wp-cron.php
- ./wp-links-opml.php
- ./wp-settings.php
- ./wp-comments-post.php
- ./wp-mail.php
- ./xmlrpc.php
- ./wp-activate.php
- ./wp-trackback.php
- ./wp-blog-header.php
Sucuri fremhevet også at skadelig programvare ble funnet å være til stede i noen pseudo-legitime filnavn som ble droppet av hackerne selv, inkludert:
- RVbCGlEjx6H.php
- lfojmd.php
- wp-newslet.php
- wp-ver.php
- wp-logln.php
Hackers bruddmetode kan være en sårbar plugin eller brute-force
Sucuri har ennå ikke oppdaget hvordan disse black hat-hackerne bryter disse WordPress-nettstedene, men det antas at en sårbar plugin eller brute-force-angrep er de mest sannsynlige synderne. Hackere kan bruke et utnyttelsessett for å finne sikkerhetssårbarheter i plugins for å fremheve et mål. Alternativt kan WordPress-nettstedets administrators påloggingspassord knekkes ved hjelp av en algoritme i en brutalt styrkeangrep.
WordPress-nettsteder er vanlige utnyttelsesmål
Dette er på ingen måte første gang WordPress-nettsteder er målrettet av ondsinnede aktører. Millioner av WordPress-nettsteder har blitt kompromittert av nettkriminelle tidligere, og det er ingen tvil om at mange flere vil fortsette å bli ofre for slike angrep.