Авторы плагина Wordfence обнаружили новый способ установки бэкдоров на сайты, основанные на движке WordPress. Метод требует прохождения сложных этапов, но хакеры уже совершили несколько атак.
WordPress и Jetpack
Первым делом злоумышленники взламывают аккаунты пользователей. Примечательно, что логин и пароль от панели управления WordPress.com отличаются от данных, используемых для входа в консоль сайтов под управлением одноименного движка.
Заполучив доступ, хакеры используют плагин Jetpack для массовой установки вредоносного дополнения во все сайты, подключенные к аккаунту. При этом установленные надстройки не отображаются в панелях администраторов.
В период с 16 по 21 мая 2018 года злоумышленники устанавливали бэкдоры с названиями «pluginsamonsters» и «wpsmilepack». Они используются для направления пользователей на фишинговые страницы.
Защита от взлома
Владельцам сайтов, связанных с Wordpress, рекомендуется изучить список установленных плагинов. При обнаружении подозрительных пакетов нужно их удалить, сменить пароль и включить двухфакторную аутентификацию.
Уязвимости в движке WоrdPress нередки. В мае 2017 года специалист по безопасности Давид Голунский обнаружил способ получить ссылку для сброса пароля от панели управления сайтом.
Источник: блог Wordfence
