目前，黑客已經(jīng)對(duì)900,000多個(gè)WordPress網(wǎng)站發(fā)起了大規(guī)模攻擊，這些攻擊試圖將訪問(wèn)者重定向到惡意網(wǎng)站或在取得管理員登錄權(quán)限后直接植入后門。

[[325025]]

根據(jù)有效載荷，這些攻擊似乎是由一個(gè)黑客發(fā)起的，在過(guò)去的一個(gè)月中，他至少使用了24,000個(gè)IP‌地址向900,000多個(gè)站點(diǎn)發(fā)送惡意請(qǐng)求。

在4月28日之后，攻擊嘗試有所增加。WordPress安全公司Divisant在5月3日檢測(cè)到針對(duì)50多萬(wàn)個(gè)網(wǎng)站的2000萬(wàn)次攻擊。

Defiant高級(jí)質(zhì)量檢查官Ram Gall表示，攻擊者主要集中在插件中的跨站點(diǎn)腳本(XSS)漏洞利用上，這些漏洞雖然在幾個(gè)月或幾年前已得到修復(fù)，但黑客還是針對(duì)沒(méi)有更新的用戶進(jìn)行了攻擊。

將訪問(wèn)者重定向到惡意網(wǎng)站是妥協(xié)的辦法之一。如果JavaScript是由登錄的管理員的瀏覽器執(zhí)行的，則代碼將嘗試在頭文件中插入一個(gè)PHP后門以及另一個(gè)JavaScript。

然后，后門獲取另一個(gè)有效負(fù)載，并將其存儲(chǔ)在主題的標(biāo)頭文件中，以嘗試執(zhí)行該有效負(fù)載。“這種方法可以讓攻擊者保持對(duì)網(wǎng)站的控制。”

這樣，攻擊者可以切換到另一個(gè)有效負(fù)載，該有效負(fù)載可能是Webshell，創(chuàng)建惡意管理員的代碼或用于刪除整個(gè)網(wǎng)站內(nèi)容的代碼。今天的報(bào)告中包含了最終有效載荷的危害指標(biāo)。

注意舊的漏洞

Gall說(shuō)，已檢測(cè)到多個(gè)漏洞，但以下是最有針對(duì)性的漏洞。(請(qǐng)注意，這些易受攻擊的插件要么已從官方存儲(chǔ)庫(kù)中刪除，要么已在去年或之前收到修補(bǔ)程序。)

• Easy2Map 插件中的XSS漏洞已于2019年8月從WordPress插件存儲(chǔ)庫(kù)中刪除，我們估計(jì)該漏洞 可能安裝在不到3,000個(gè)站點(diǎn)上。這占所有攻擊的一半以上。
• Blog Designer中的XSS漏洞已于2019年修補(bǔ)。雖然此漏洞是以前活動(dòng)的目標(biāo)，但我們估計(jì)不超過(guò)1,000個(gè)易受攻擊的安裝仍然存在。
• 2018年底修補(bǔ)了WP-GDPR-Compliance中的選項(xiàng)更新漏洞，該漏洞允許攻擊者除了更改其他選項(xiàng)外，還更改網(wǎng)站的主URL。此插件的安裝量超過(guò)100,000，我們估計(jì)有不超過(guò)5,000個(gè)易受攻擊的安裝仍然存在。
• Total捐贈(zèng)中存在一個(gè)選項(xiàng)更新漏洞，允許攻擊者更改網(wǎng)站的主頁(yè)URL。這個(gè)插件在2019年初被從Envato市場(chǎng)永久刪除，我們估計(jì)總安裝量不到1000個(gè)。
• Newspaper主題中的XSS漏洞已于2016年修復(fù)。這一漏洞過(guò)去也曾成為攻擊目標(biāo)。

由此看出，WordPress插件漏洞的歷史遺留問(wèn)題確實(shí)存在，建議WordPress網(wǎng)站的管理員應(yīng)該及時(shí)更新他們的插件并刪除那些不在WordPress存儲(chǔ)庫(kù)中的插件。