Hackeři masivně zaútočili na 900 tisíc stránek s WordPressem

Nejpopulárnějším CMS na světě je už nějakou dobu WordPress, který nabídne jednoduchou správu a je zadarmo. Bohužel s bezpečností to nemusí být až tak slavné. Aby nabídl dostatečnou ochranu proti útokům, musí ruku k dílu přiložit také webmasteři, což ale často nedělají a zdaleka tak nejde jen o chybu tohoto CMS, ale především jeho správců. Nechávají často neaktuální verzi WordPressu i pluginů. A právě ty jsou často terčem útoků. Jeden takový začal 28. dubna, kdy bezpečnostní firma Wordfence zaznamenala 30násobný nárůst provozu na internetu, který měl záškodnické cíle.

 

 

Autory útoků už sledují nějakou dobu, prozatím ale prováděli jen menší napadání. V minulém týdnu ale vše spustili naplno a dle Wordfence se pokusili nabourat do 900 tisíc různých WordPress prezentací. Nejhorší to bylo v neděli 3. května, kdy provedli více než 20 milionů pokusů na půl milionů různých domén.

 

Především se pokoušeli využít známých zranitelností typu cross-site scripting (XSS). Těmi chtěli na stránky umístit škodlivý kód v JavaScriptu, který by posílal návštěvníky webů na stránky útočníků. I když šlo o využití zranitelnosti jednoho typu, ta byla přítomna v mnoha různých pluginech, takže to útočníci zkoušeli na každou stránku mnoha různými způsoby. Své útoky tak cílili např. na Easy2Map, který byl aktivní jen na 3000 stránkách. Tento plugin není nabízen od srpna 2019.

 

Dále se útočilo na Blog Designer (aktualizován v roce 2019), WP GDPR Compliance (ze 100 tisíc instalací je neaktualizovaných asi 5000), Total Donations (1000 instalací, odstraněn z nabídky počátkem roku 2019) nebo Newspaper (ten byl aktualizován už v roce 2016).

 

Zdroj: zdnet.com