近日,黑客們採用了一種前所未有的方法在 運行開源CMS的WordPress網站上安裝後門插件,這種新技術依賴於使用弱保護的WordPress.com賬戶和Jetpack的插件,該技術十分複雜,且將危及網站,黑客必須成功繞過多種防禦措施。
然而據報道稱,當地時間5月16日,WordPress網站安全公司Wordfence及網站官方的WordPress.org論壇被曝遭犯罪分子劫持:黑客以公眾的用戶名和密碼為突破口,試圖登錄WordPress.com賬戶,跨帳戶重複使用密碼且未對其配置文件啟用雙因素身份驗證的用戶容易受到這些帳戶的影響。
這就需要知道,這類WordPress.com帳戶可用來管理Automattic的專業博客,它不同於那些基於開源CMS上的WordPress.org賬戶及由WordPress網站自主管理的帳戶。
雖然WordPress的開源CMS是由WordPress的社區管理,大量的Automattic開發商密切聯繫開源CMS,並對其產生很大的影響,所以Automattic插件早在幾年前就針對WordPress.com進行了使用分析。
隨著時間的推移,這個名為Jetpack的分析模塊不斷更新完善,成為當今最流行的WordPress插件之一,它能直接連接上安裝此插件的WordPress.com帳戶,並在傳送插座面板的儀表板內部管理成千上萬的WordPress賬戶。
此外,WordPress.org存儲庫和攻擊者可以輕鬆上傳帶有惡意代碼的ZIP文件。據Wordfence稱,黑客已經接管WordPress.com賬戶,並找到連接WordPress自託管的網站,濫用這一遠程管理功能來部署預先固定在站點的後門插件。
目前,黑客一直在使用這些後門插件將用戶重定向至垃圾郵件站點,對此安全研究員表示,如果他們發現可疑插件,將立即更改其在WordPress.com的賬號密碼,並
在啟用該帳戶的雙因素認證後,開始現場清洗程序。早在今年2月,黑客就使用了一種名為“憑據填充”(credential stuffing)的方法試圖猜測管理員帳戶的憑據:使用洩露的用戶名和密碼複合技術,從源頭上直接劫持的WordPress自託管的網站。
閱讀更多 網絡安全焦點 的文章