Leser wie Sie helfen, MUO zu unterstützen. Wenn Sie über Links auf unserer Website einen Kauf tätigen, erhalten wir möglicherweise eine Affiliate-Provision.
Eine neue böswillige SEO-Kampagne hat erfolgreich über 15.000 WordPress-Websites kompromittiert. Ziel der Kampagne ist es, Benutzer auf gefälschte Q&A-Seiten umzuleiten, um den Besucherverkehr zu erhöhen.
Über 15.000 WordPress-Sites kompromittiert
In einer neuen Black-Hat-Weiterleitungskampagne ist es Hackern gelungen, über 15.000 WordPress-Websites zu kompromittieren, um den Suchmaschinenrang verschiedener gefälschter Websites zu erhöhen.
Wie in a berichtet Sucuri-Blogbeitrag, gibt es seit September 2022 einen merklichen Anstieg der WordPress-Malware-Umleitungsseiten. Diese Weiterleitungsseiten führen Benutzer zu gefälschten Q&A-Portalen von geringer Qualität. Allein im September und Oktober konnten Hacker über 2.500 Websites erfolgreich angreifen.
Sucuri, ein Sicherheitsforscher, hat bisher 14 gefälschte Websites entdeckt, deren Server von verschleiert wurden
ein Proxy. Die auf den Seiten angezeigten Fragen stammen von anderen, legitimen Q&A-Plattformen. Mit einem erhöhten SEO-Ranking können diese Seiten mehr Personen erreichen.Gefälschte Q&A-Sites können Malware verbreiten
Die gefälschten Websites, die in dieser Weiterleitungskampagne verwendet werden, sind in der Lage, Malware an Besucher zu verbreiten. Im Gegensatz zu vielen bösartigen Websites können diese speziellen gefälschten Q&A-Foren über 100 infizierte Dateien pro Website ändern. Dies wird nicht oft getan, da es ihre Erkennung und Beendigung wahrscheinlicher macht.
In dem oben genannten Blog-Beitrag erklärte Sucuri, dass die meisten der infizierten Dateien Kern-WordPress sind -Dateien, sondern listete auch eine Reihe von Dateien auf, die am häufigsten infiziert sind und alle über .php Erweiterungen. Die Liste der infizierten .php-Dateien wird unten angezeigt:
- ./wp-signup.php
- ./wp-cron.php
- ./wp-links-opml.php
- ./wp-settings.php
- ./wp-comments-post.php
- ./wp-mail.php
- ./xmlrpc.php
- ./wp-activate.php
- ./wp-trackback.php
- ./wp-blog-header.php
Sucuri betonte auch, dass die Malware in einigen pseudolegitimen Dateinamen vorhanden war, die von den Hackern selbst gelöscht wurden, darunter:
- RVbCGlEjx6H.php
- lfojmd.php
- wp-newslet.php
- wp-ver.php
- wp-logln.php
Hacker-Breach-Methode Kann ein anfälliges Plugin oder Brute-Force sein
Sucuri hat noch nicht herausgefunden, wie diese Black-Hat-Hacker diese WordPress-Sites verletzen, aber es wird angenommen, dass ein anfälliges Plugin oder ein Brute-Force-Angriff die wahrscheinlichsten Übeltäter sind. Hacker verwenden möglicherweise ein Exploit-Kit, um Sicherheitslücken in Plugins aufzuspüren und ein Ziel hervorzuheben. Alternativ könnte das Login-Passwort des WordPress-Site-Administrators mit einem Algorithmus in a geknackt werden Brute-Force-Angriff.
WordPress-Sites sind häufige Exploit-Ziele
Dies ist keineswegs das erste Mal, dass WordPress-Seiten von böswilligen Akteuren angegriffen werden. Millionen von WordPress-Sites wurden in der Vergangenheit von Cyberkriminellen kompromittiert, und es besteht kein Zweifel, dass viele weitere solchen Angriffen zum Opfer fallen werden.