Nesta página: [ocultar]
Um grupo desconhecido de hackers está trabalhando ativamente no roubo de credenciais de banco de dados do WordPress de mais de 1.3 milhões de sites baixando seus arquivos de configuração. O mecanismo usado é descobrir versões sem patch dos plugins que fornecem acesso ao arquivo wp-config.php. Depois que eles obtêm acesso a esse arquivo, eles podem usar as informações contidas para assumir todo o site.
Método de infiltração: Como os blogs do WordPress são invadidos
A campanha de ataque em larga escala depende de um dos princípios mais simples usados pelos cibercriminosos - a exploração de software sem patch, que em sites baseados em WordPress significa qualquer plug-in instalado, temas, e o sistema de gerenciamento de conteúdo.
Os hackers normalmente fazem isso seguindo uma dessas duas abordagens:
- Exploração Automática — Essa técnica se baseia em kits de ferramentas de hacking da web que revelam versões desatualizadas de plug-ins, temas, e instalações do WordPress. Quando tal é encontrado, eles usarão um exploit adequado para acessar o sistema de arquivos do servidor e adquirir o arquivo de configuração. A vantagem desse método é que ele pode enumerar rapidamente um grande número de sites.
- Hacking manual — Essa abordagem depende dos criminosos’ experiência para invadir um determinado site WordPress. Comparado com o método automatizado, aqui, criminosos experientes podem ser muito mais eficazes, pois eles podem realizar pesquisas prévias e possivelmente evitar qualquer sistema de segurança que possa ser colocado.
Assim que as credenciais do banco de dados e os arquivos de configuração forem roubados, os hackers podem acessar o conteúdo dos registros. As combinações de nome de usuário e senha dos usuários afetados permitem que eles se conectem ao banco de dados remoto e acessem todas as informações armazenadas no site e permitem efetivamente uma ultrapassagem da conta. Quando um banco de dados é acessado, os hackers terão a capacidade de navegar por todos os dados pertencentes a todos os usuários registrados.
Além disso, Ler O que é o wp-config.php (Arquivo de Configuração do WordPress)
O ataque em grande escala ao WordPress e suas implicações
De lá, várias ações de sabotagem podem ocorrer, a mais evidente das quais envolve a remoção completa de todo o conteúdo da web ou a modificação de dados em sites atacados. Hackers com um plano específico podem então levar a um chamado desfiguração do site ataque, onde ocorre a substituição de todos os conteúdos por uma mensagem política. Nesses casos, os grupos criminosos podem ser motivados por uma ideologia específica ou foram pagos para fazer isso por uma agência estatal ou empresa concorrente.
Wordfence publicou estatísticas sobre o último incidente, citando um aumento substancial no número de tentativas de exploração contra seus clientes. A rede protegida conseguiu bloquear mais de 130 milhões de tentativas de hackers. Quando o número representou outros aparelhos, isso deve levar a uma estimativa de que mais de 1.3 milhões de sites WordPress foram direcionados apenas nesta campanha.
Os ataques começaram com uma série de explorações de script entre sites, uma fraqueza comum que pode ser encontrada entre plugins e temas mal projetados. Isso permite que os hackers enganem os scripts integrados para que executem o código de sua própria escolha, o que leva à infiltração no sistema.
Além disso, Ler Esteja avisado: Há um aumento nos ataques de XSS contra sites WordPress
A campanha é supervisionada por um grupo de hackers desconhecido, que não mostra as motivações dos atacantes. Ao escrever este artigo, nenhuma categoria particular de sites é focada, o que significa que o grupo criminoso tem como alvo tantos sites quanto possível.
Nesta situação, nós da HowToHosting.Guide recomendamos que você conserte sua instalação completa do WordPress e esteja atento a qualquer comportamento suspeito.