Lectores como tú ayudan a apoyar a MUO. Cuando realiza una compra utilizando enlaces en nuestro sitio, podemos ganar una comisión de afiliado.
Una nueva campaña maliciosa de SEO ha comprometido exitosamente más de 15,000 sitios web de WordPress. El objetivo de la campaña es redirigir a los usuarios a sitios falsos de preguntas y respuestas para aumentar el tráfico de visitantes.
Más de 15,000 sitios de WordPress comprometidos
En una nueva campaña de redirección de sombrero negro, los piratas informáticos lograron comprometer más de 15,000 sitios web de WordPress para aumentar el rango del motor de búsqueda de varios sitios web falsos.
Como se informó en un Publicación de blog de Sucuri, ha habido un aumento notable en los sitios de redirección de malware de WordPress desde septiembre de 2022. Estos sitios de redirección llevan a los usuarios a portales de preguntas y respuestas falsos y de baja calidad. Solo durante septiembre y octubre, los piratas informáticos pudieron atacar con éxito más de 2500 sitios.
Sucuri, un investigador de seguridad, ha detectado 14 sitios web falsos hasta el momento, cuyos servidores están oscurecidos por un proxy. Las preguntas que se muestran en los sitios se extraen de otras plataformas legítimas de preguntas y respuestas. Con una mayor clasificación de SEO, estos sitios pueden llegar a más personas.
Los sitios falsos de preguntas y respuestas pueden propagar malware
Los sitios falsos utilizados en esta campaña de redirección son capaces de propagar malware a los visitantes. A diferencia de muchos sitios maliciosos, estos foros de preguntas y respuestas falsos son capaces de modificar más de 100 archivos infectados por sitio. Esto no se hace a menudo, ya que hace más probable su detección y finalización.
En la publicación de blog antes mencionada, Sucuri afirmó que la mayoría de los archivos infectados son del núcleo de WordPress. archivos, pero también enumeró una serie de archivos que se infectan con mayor frecuencia, todos los cuales tienen .php extensiones La lista de archivos .php infectados se muestra a continuación:
- ./wp-signup.php
- ./wp-cron.php
- ./wp-enlaces-opml.php
- ./wp-settings.php
- ./wp-comentarios-post.php
- ./wp-mail.php
- ./xmlrpc.php
- ./wp-activar.php
- ./wp-trackback.php
- ./wp-blog-encabezado.php
Sucuri también destacó que se descubrió que el malware estaba presente en algunos nombres de archivos pseudo-legítimos dejados por los propios piratas informáticos, que incluyen:
- RVbCGlEjx6H.php
- lfojmd.php
- wp-boletín.php
- wp-ver.php
- wp-logln.php
El método de violación de los piratas informáticos puede ser un complemento vulnerable o fuerza bruta
Sucuri aún no ha descubierto cómo estos piratas informáticos de sombrero negro están violando estos sitios de WordPress, pero se cree que los culpables más probables son un complemento vulnerable o un ataque de fuerza bruta. Los piratas informáticos pueden estar utilizando un kit de explotación para buscar vulnerabilidades de seguridad dentro de los complementos para resaltar un objetivo. Alternativamente, la contraseña de inicio de sesión del administrador del sitio de WordPress podría descifrarse usando un algoritmo en un ataque de fuerza bruta.
Los sitios de WordPress son objetivos comunes de explotación
Esta no es la primera vez que los sitios de WordPress han sido atacados por actores maliciosos. Millones de sitios de WordPress se han visto comprometidos por ciberdelincuentes en el pasado, y no hay duda de que muchos más seguirán siendo víctimas de este tipo de ataques.