Lezers zoals jij steunen MUO. Wanneer u een aankoop doet via links op onze site, kunnen we een aangesloten commissie verdienen.
Een nieuwe kwaadaardige SEO-campagne heeft met succes meer dan 15.000 WordPress-websites gecompromitteerd. Het doel van de campagne is om gebruikers om te leiden naar valse Q&A-sites om het bezoekersverkeer te vergroten.
Meer dan 15.000 WordPress-sites gecompromitteerd
In een nieuwe black hat-omleidingscampagne zijn hackers erin geslaagd om meer dan 15.000 WordPress-websites in gevaar te brengen om de positie in zoekmachines van verschillende nepwebsites te verhogen.
Zoals gemeld in een Sucuri-blogpost, is er sinds september 2022 een merkbare stijging van het aantal omleidingssites voor WordPress-malware. Deze omleidingssites leiden gebruikers naar valse Q&A-portals van lage kwaliteit. Alleen al in september en oktober konden hackers met succes meer dan 2.500 sites aanvallen.
Sucuri, een beveiligingsonderzoeker, heeft tot nu toe 14 nepwebsites gedetecteerd, waarvan de servers werden verduisterd door
een proxy. De vragen die op de sites worden weergegeven, zijn afkomstig van andere, legitieme Q&A-platforms. Met een verhoogde SEO-ranking kunnen deze sites meer individuen bereiken.Valse Q&A-sites kunnen malware verspreiden
De nep-sites die in deze omleidingscampagne worden gebruikt, kunnen malware naar bezoekers verspreiden. In tegenstelling tot veel andere kwaadwillende sites, zijn deze specifieke nep Q&A-forums in staat om meer dan 100 geïnfecteerde bestanden per site te wijzigen. Dit wordt niet vaak gedaan, omdat het hun detectie en beëindiging waarschijnlijker maakt.
In de eerder genoemde blogpost verklaarde Sucuri dat de meeste geïnfecteerde bestanden core WordPress zijn bestanden, maar ook een lijst met een aantal bestanden die het vaakst zijn geïnfecteerd, die allemaal .php hebben uitbreidingen. De lijst met geïnfecteerde .php-bestanden wordt hieronder weergegeven:
- ./wp-signup.php
- ./wp-cron.php
- ./wp-links-opml.php
- ./wp-instellingen.php
- ./wp-comments-post.php
- ./wp-mail.php
- ./xmlrpc.php
- ./wp-activate.php
- ./wp-trackback.php
- ./wp-blog-header.php
Sucuri benadrukte ook dat de malware aanwezig was in enkele pseudo-legitieme bestandsnamen die door de hackers zelf waren gedropt, waaronder:
- RVbCGlEjx6H.php
- lfojmd.php
- wp-newslet.php
- wp-ver.php
- wp-logln.php
Breach-methode van hackers kan een kwetsbare plug-in of brute kracht zijn
Sucuri heeft nog niet ontdekt hoe deze black hat-hackers deze WordPress-sites binnendringen, maar men denkt dat een kwetsbare plug-in of een brute-force-aanval de meest waarschijnlijke boosdoeners zijn. Hackers gebruiken mogelijk een exploitkit om beveiligingsproblemen in plug-ins op te sporen om een doelwit te markeren. Als alternatief kan het inlogwachtwoord van de WordPress-sitebeheerder worden gekraakt met behulp van een algoritme in een brute aanval.
WordPress-sites zijn veelvoorkomende exploitdoelen
Dit is zeker niet de eerste keer dat WordPress-sites het doelwit zijn van kwaadwillende actoren. Miljoenen WordPress-sites zijn in het verleden gecompromitteerd door cybercriminelen en het lijdt geen twijfel dat er nog veel meer het slachtoffer zullen worden van dergelijke aanvallen.
