WordPress tiene una base de usuarios de más de 60 millones de personas y un “ataque de puerta trasera” en curso está tratando de comprometer a la mayor cantidad posible de ellos. Ha habido una campaña de pirateo de sitios web desde julio que se transformó de la redirección de los navegadores a sitios que contienen anuncios dudosos o software malicioso en algo que es aún más vulnerable.
Ahora la pregunta es ¿cómo están teniendo acceso los atacantes a un sitio web? Parece que algunos complementos de WordPress de terceros están detrás de esta amenaza de seguridad. Según el sitio web oficial del sitio web de WordPress, actualmente hay 55133 complementos.
En un estudio reciente, Imperva reveló que “el 98% de las vulnerabilidades de WordPress están relacionadas con los complementos”. Además, explicaron que de una cantidad tan grande de complementos, solo el 3% se agregaron en 2018, lo que significa que hay muchas versiones antiguas no actualizadas complementos aún en uso.
Un investigador de Inteligencia de amenazas desafiante, Mikey Veenstra dijo: “la campaña ha agregado otro script que intenta instalar una puerta trasera en el sitio objetivo explotando la sesión de un administrador”.
Veenstra publicó una advertencia en WordFence y reveló que un JavaScript malicioso introducido en sitios web comprometidos busca “crear un nuevo usuario con privilegios de administrador en el sitio de la víctima”. Además, explicó que si un administrador conectado está viendo la página infectada, entonces realiza una llamada AJAX a través de jQuery.
Advirtió: “Esta llamada AJAX crea un usuario llamado wpservices con el correo electrónico wpservices@yandex.com y la contraseña w0rdpr3ss. Con este usuario en su lugar, el atacante puede instalar puertas traseras adicionales o realizar otras actividades maliciosas “.
Veenstra identificó algunos complementos que actualmente están bajo ataque y algunos de ellos son Bold Page Builder , Blog Designer , Live Chat with Facebook Messenger , Yuzo Related Posts , Visual CSS Style Editor , WP Live Chat Support , Form Lightbox , Hybrid Composer , All ex NicDark complementos ( nd-booking , nd-travel , nd-learning ).
Para mitigar este problema, el pirata informático ético John Opdenakker comentó: “sin duda es una buena idea usar un firewall de aplicación web para ayudar a bloquear los ataques de scripting entre sitios (XSS)”.