目前，黑客已經(jīng)對900,000多個WordPress網(wǎng)站發(fā)起了大規(guī)模攻擊，這些攻擊試圖將訪問者重定向到惡意網(wǎng)站或在取得管理員登錄權(quán)限后直接植入后門。

[[325025]]

根據(jù)有效載荷，這些攻擊似乎是由一個黑客發(fā)起的，在過去的一個月中，他至少使用了24,000個IP‌地址向900,000多個站點發(fā)送惡意請求。

在4月28日之后，攻擊嘗試有所增加。WordPress安全公司Divisant在5月3日檢測到針對50多萬個網(wǎng)站的2000萬次攻擊。

Defiant高級質(zhì)量檢查官Ram Gall表示，攻擊者主要集中在插件中的跨站點腳本(XSS)漏洞利用上，這些漏洞雖然在幾個月或幾年前已得到修復(fù)，但黑客還是針對沒有更新的用戶進行了攻擊。

將訪問者重定向到惡意網(wǎng)站是妥協(xié)的辦法之一。如果JavaScript是由登錄的管理員的瀏覽器執(zhí)行的，則代碼將嘗試在頭文件中插入一個PHP后門以及另一個JavaScript。

然后，后門獲取另一個有效負載，并將其存儲在主題的標頭文件中，以嘗試執(zhí)行該有效負載。“這種方法可以讓攻擊者保持對網(wǎng)站的控制。”

這樣，攻擊者可以切換到另一個有效負載，該有效負載可能是Webshell，創(chuàng)建惡意管理員的代碼或用于刪除整個網(wǎng)站內(nèi)容的代碼。今天的報告中包含了最終有效載荷的危害指標。

注意舊的漏洞

Gall說，已檢測到多個漏洞，但以下是最有針對性的漏洞。(請注意，這些易受攻擊的插件要么已從官方存儲庫中刪除，要么已在去年或之前收到修補程序。)

• Easy2Map 插件中的XSS漏洞已于2019年8月從WordPress插件存儲庫中刪除，我們估計該漏洞 可能安裝在不到3,000個站點上。這占所有攻擊的一半以上。
• Blog Designer中的XSS漏洞已于2019年修補。雖然此漏洞是以前活動的目標，但我們估計不超過1,000個易受攻擊的安裝仍然存在。
• 2018年底修補了WP-GDPR-Compliance中的選項更新漏洞，該漏洞允許攻擊者除了更改其他選項外，還更改網(wǎng)站的主URL。此插件的安裝量超過100,000，我們估計有不超過5,000個易受攻擊的安裝仍然存在。
• Total捐贈中存在一個選項更新漏洞，允許攻擊者更改網(wǎng)站的主頁URL。這個插件在2019年初被從Envato市場永久刪除，我們估計總安裝量不到1000個。
• Newspaper主題中的XSS漏洞已于2016年修復(fù)。這一漏洞過去也曾成為攻擊目標。

由此看出，WordPress插件漏洞的歷史遺留問題確實存在，建議WordPress網(wǎng)站的管理員應(yīng)該及時更新他們的插件并刪除那些不在WordPress存儲庫中的插件。