بیش از 2000 وبسایت #وردپرس آلوده به جاوااسکریپت مخربی هستند که بازدیدکنندگان سایت را به وبسایتهای تقلبی هدایت میکند و شرایطی فراهم میسازد که بعداً بدافزار بیشتری دانلود شود.
دسترسی به وبسایتهای وردپرس از طریق سوءاستفاده از آسیبپذیریهای پلاگینهای مختلفی همچون Simple Fields و CP Contact Form با PayPal حاصل میشود. اوج این فعالیتهای مخرب در هفتهی سوم ماه ژانویه سال 2020 روی داده است. پس از ورود به سایت وردپرس، ابتدا جاوااسکریپت، بازدیدکننده را به چهار وبسایت مخرب gotosecond2[.]com، adsformarket[.]com، admarketlocation[.]com و admarketlocation[.]com هدایت میکند. سپس لینک statistic[.]admarketlocation[.]com/clockwork?&se_referrer= یا track[.]admarketresearch[.]xyz/?track&se_referrer= در سایت WordPress بارگذاری میشود تا خرابکاری نهایی جاوااسکریپت مخرب را ارایه دهد. این اقدام آخر بسیار مشکلساز است، زیرا به مهاجم اجازه میدهد تغییرات بیشتری در سایت ایجاد کند یا بدافزار بیشتری همچون دربپشتیهای PHP و ابزار هک را جهت کمک به حفظ پایداریشان وارد نماید.
همچنین مشاهده شده است که مهاجمان از ویژگیهای /wp-admin/ برای ساخت دایرکتورهای جعلی پلاگین که شامل بدافزار بیشتری است سوءاستفاده میکنند. رایجترین دایرکتورهای جعلی پلاگین که توسط محققان کشف شدهاند عبارتند از /wp-content/plugins/supersociall//supersociall.php و wp-content/plugins/blockspluginn/blockspluginn.php.
به صاحبان وبسایتها توصیه میشود تغییر پوشههای اصلی را غیرفعال سازند؛ این امر مانع از درج فایلهای مخرب توسط هکرها میشود، یا بخشی از سختافزاریکردن امنیت وردپرس و بهترین روش امنیتی را به کار گیرند.
- 8