Призрачный администратор: как хакеры захватывают контроль над WordPress-сайтами

На более чем 5000 сайтов WordPress выявлена вредоносная кампания, в ходе которой злоумышленники создают фальшивые учётные записи администратора, устанавливают вредоносные плагины и похищают данные. Специалисты компании c/side, занимающейся безопасностью веб-скриптов, обнаружили эту активность во время реагирования на инцидент у одного из клиентов.

Вредоносная активность использует домен wp3[.]xyz для передачи данных. Исходный вектор заражения пока не установлен. После компрометации сайта вредоносный скрипт из указанного домена создаёт учётную запись администратора с именем wpx_admin, а её данные сохраняются в коде.

Затем скрипт загружает и активирует вредоносный плагин под названием plugin.php с того же домена. По данным c/side, этот плагин предназначен для сбора конфиденциальной информации, включая учётные данные администраторов и логи, которые отправляются на сервер злоумышленников. Передача данных маскируется под запрос изображений.

Атака включает механизмы проверки, такие как запись статуса после создания учётной записи и подтверждение установки плагина.

Для предотвращения подобных атак специалисты c/side рекомендуют:

• Заблокировать домен wp3[.]xyz с помощью брандмауэров и средств защиты.
• Проверить все привилегированные учётные записи и установленные плагины, удаляя подозрительные элементы.
• Усилить защиту от CSRF-атак с использованием уникальных токенов, серверной валидации и их периодической регенерации. Срок действия токенов должен быть ограничен.
• Настроить многофакторную аутентификацию для защиты учётных записей с уже скомпрометированными данными.

Массовые атаки на сайты WordPress подчёркивают, насколько важна регулярная проверка безопасности и проактивная защита. Игнорирование этих мер может стоить конфиденциальных данных и контроля над ресурсом.