Четверг, 3 декабря, 23:58
дома безопасность WordPress: массовая атака на 900.000 XNUMX сайтов

WordPress: массовая атака на 900.000 XNUMX сайтов

WordPress в своих взглядах Хакерыс новой массовой атакой на более чем 900.000 XNUMX веб-сайтов.

Атаки, похоже, являются работой хакера, который использовал по крайней мере 24.000 XNUMX в прошлом месяце IP-адреса отправить вредоносное ПО на более чем 900.000 XNUMX веб-сайтов.

WordPress: массовая атака на 900.000 XNUMX сайтов

После 28 апреля усилилось противодействие, так как компания по защите WordPress Defiant, которая 3 мая создала плагин безопасности Wordfence, обнаружила более 20 миллионов атак на более чем 500.000 XNUMX веб-сайтов.

Начальник отдела контроля Defiant Рам Галл (Ram Gall) сказал, что хакер больше сосредоточился на использовании уязвимостей межсайтового скриптинга (XSS) в плагины которые были исправлены в прошлом и были нацелены на других нападки.

Перенаправление посетителей на вредоносную рекламу - это успешное начинание хакерская атака, Если пользователь подключен к браузеру с JavaScript, код пытается вставить бэкдор PHP в файл заголовка вместе с другим JavaScript. Тогда задняя дверь берет другой полезная нагрузка и сохраняет его в заголовке, пытаясь его выполнить. Таким образом, хакер может изменить полезную нагрузку на веб-оболочку, код, который создает злонамеренного администратора или удаляет содержимое всего сайта. В своем объявлении Defiant включил индикаторы подверженности в окончательную полезную нагрузку.

Вот список уязвимостей, которые кажутся более целенаправленными, и Плагины были либо удалены, либо исправлены в прошлом, по словам Галла.

  1. XSS-уязвимость в плагине Easy2Map, который был удален из WordPress в августе 2019 года и предположительно установлен на менее чем 3.000 веб-сайтов.
  2. Уязвимость в вариантах обновления WP GDPR Compliance, которая позволяла злоумышленникам, среди прочего, изменять URL-адрес сайта и была исправлена ​​в конце 2018 года. Хотя этот плагин превысил 100.000 5.000 дополнений, по оценкам, они не оскорбили более XNUMX сайтов.
  3. Уязвимость XSS в Blog Designer, исправленная в 2019 году. По оценкам, остается менее 1.000 уязвимостей, хотя эта уязвимость была целью предыдущих хакерских кампаний.
  4. Уязвимость в опциях обновляется до Total Donations, что позволяет хакерам изменять URL-адрес домашней страницы сайта. Этот плагин был окончательно удален с рынка Envato в начале 2019 года, и, по оценкам, осталось менее 1.000 установок.
  5. XSS-уязвимость в теме «Газеты», которая была исправлена ​​в 2016 году. Эта уязвимость также подвергалась атакам в прошлом.

ОСТАВИТЬ ОТВЕТ

Пожалуйста, введите ваш комментарий!
Пожалуйста, введите ваше имя здесь

ЖИВЫЕ НОВОСТИ

00: 02: 27

Apple: «Брешь в безопасности» позволяет удаленно управлять iPhone через Wi-Fi!

Брешь в системе безопасности, обнаруженная в Apple, позволила злоумышленнику удаленно управлять iPhone через сеть Wi-Fi. С ним...

Apodis Pharma: 1,7 ТБ данных утекло с французской платформы распространения лекарств

Исследовательская группа CyberNews обнаружила небезопасную общедоступную приборную панель Kibana базы данных ElasticSearch, которая содержит конфиденциальные данные, ...

Shirbit: хакеры требуют выкупа почти в 1 миллион долларов

Страховая компания Shirbit во вторник стала жертвой кибератаки хакерской группы Black Shadow. Команда потребовала выкуп в размере 50 биткойнов ...

Apple: Потребительские иски в Европе за замедление работы старых iPhone

Apple столкнулась с новыми исками от европейских потребителей из-за своей неоднозначной практики замедления работы старых iPhone.

Кибератаки 2021 года: внимание к программам-вымогателям и мошенничеству с BEC

Эпоха утечек больших данных, возможно, подходит к концу, поскольку, по данным Центра ресурсов по краже личных данных (ITRC), ...

Кампания по шпионскому ПО использует бэкдор для кражи данных

Шпионская кампания нацелена на МИД страны Европейского Союза с помощью нового вредоносного ПО, которое предоставляет секретную ...

Руководство по внедрению GDPR: полезный инструмент в руках юристов и DPO

Руководство по внедрению GDPR: полезный инструмент в руках юристов и DPO: у вас есть вопросы по поводу Общего регламента защиты данных (GDPR)? Есть пробелы ...

Канадский иск против Dell за утечку данных

Dell Technologies подает в суд на тысячи канадцев, пострадавших от утечки данных.

Обновления Microsoft Office: устранение проблем в Outlook и Skype

Microsoft выпустила обновления Microsoft Office, не связанные с безопасностью, которые вносят улучшения и устраняют различные известные проблемы.

K12 Inc: компания по онлайн-обучению заплатила выкуп за программу-вымогатель Ryuk после атаки

Гигант онлайн-образования K12 Inc. заплатил выкуп после того, как его системы атаковал вымогатель Ryuk. K12 создает кастомные ...