هزاران وبسایت وردپرس مشاهده شدهاند که بدافزاری را اجرا میکنند که قادر است یک حساب کاربری ادمین جعلی ایجاد کرده و دادههای حساس را از طریق افزونههای مخرب خارج کند.
یک گزارش جدید از پژوهشگر امنیتی، هیمانشو آناند از c/side، ادعا میکد که حداقل ۵,۰۰۰ وبسایت وردپرس میزبان یک اسکریپت مخرب بودهاند که یک حساب کاربری ادمین غیرمجاز با نام کاربری و رمز عبوری که در کد قابل مشاهده است، ایجاد میکند.
پس از ایجاد این حساب، اسکریپت یک افزونه مخرب وردپرس را دانلود کرده و آن را اجرا میکند. این افزونه که نام آن فاش نشده، وظیفه دارد دادههای حساس را به یک سرور راهدور ارسال کند. گفته میشود که دادههای استخراجشده شامل اطلاعات اعتبارنامههای ادمین و وضعیتهای عملیاتی هستند.
این پژوهشگر به کسانی که مایل هستند از امنیت وبسایت خود اطمینان حاصل کنند، توصیه کرد از یکی از وبسایتهای زیر استفاده کنند:
- PublicWWW.com
- URLScan.io
برای دفاع در برابر این حملات، c/side توصیه میکند که دامنه https://wp3[.]xyz را در فایروالها یا ابزارهای امنیتی مسدود کنید، حسابهای کاربری ادمین وردپرس را برای شناسایی کاربران غیرمجاز بررسی کنید، افزونههای مشکوک را حذف کرده و افزونههای موجود را تأیید اعتبار کنید، و همچنین محافظتهای CSRF را تقویت کرده و احراز هویت چندعاملی (MFA) را پیادهسازی کنید. در نهایت، آنها استفاده از خدمات c/side را نیز توصیه میکنند.