近日,黑客们采用了一种前所未有的方法在运行开源cms的wordpress网站上安装后门插件,这种新技术依赖于使用弱保护的wordpress.com账户和jetpack的插件,该技术十分复杂,且将危及网站,黑客必须成功绕过多种防御措施。
然而据报道称,当地时间5月16日,wordpress网站安全公司wordfence及网站官方的wordpress.org论坛被曝遭犯罪分子劫持:黑客以公众的用户名和密码为突破口,试图登录wordpress.com账户,跨帐户重复使用密码且未对其配置文件启用双因素身份验证的用户容易受到这些帐户的影响。
这就需要知道,这类wordpress.com帐户可用来管理automattic的专业博客,它不同于那些基于开源cms上的wordpress.org账户及由wordpress网站自主管理的帐户。
虽然wordpress的开源cms是由wordpress的社区管理,大量的automattic开发商密切联系开源cms,并对其产生很大的影响,所以automattic插件早在几年前就针对wordpress.com进行了使用分析。
随着时间的推移,这个名为jetpack的分析模块不断更新完善,成为当今最流行的wordpress插件之一,它能直接连接上安装此插件的wordpress.com帐户,并在传送插座面板的仪表板内部管理成千上万的wordpress账户。
此外,wordpress.org存储库和攻击者可以轻松上传带有恶意代码的zip文件。据wordfence称,黑客已经接管wordpress.com账户,并找到连接wordpress自托管的网站,滥用这一远程管理功能来部署预先固定在站点的后门插件。
目前,黑客一直在使用这些后门插件将用户重定向至垃圾邮件站点,对此安全研究员表示,如果他们发现可疑插件,将立即更改其在wordpress.com的账号密码,并在启用该帐户的双因素认证后,开始现场清洗程序。
早在今年2月,黑客就使用了一种名为“凭据填充”(credential stuffing)的方法试图猜测管理员帐户的凭据:使用泄露的用户名和密码复合技术,从源头上直接劫持的wordpress自托管的网站。
