Forrás: nki.gov.hu
A WordPress weboldalak tulajdonosainak és fejlesztőinek fokozottan oda kell figyelniük arra, hogy milyen bővítményeket alkalmaznak az oldalaikhoz. Egy új jelentés szerint a kiberbűnözők egy régi és elhagyott WordPress bővítményt használnak arra, hogy backdoort telepítsenek a fertőzött oldalakra, és így távolról irányíthassák azokat.
A bővítmény neve Eval PHP, és lehetővé teszi a weboldal adminisztrátorai számára, hogy PHP kódot ágyazzanak be az oldalakba és a bejegyzésekbe, majd ezeket a kódrészleteket lefuttassák, amikor az oldal megnyílik a böngészőben. A bővítményt több mint egy évtizede nem frissítették, és általában elavultnak tekintik, de még mindig elérhető a WordPress bővítmények tárházában.
A Sucuri biztonsági cég kutatói felfedezték, hogy 2023 április eleje óta a támadók ezt a bővítményt használják arra, hogy rosszindulatú PHP kódot injektáljanak a WordPress weboldalakba és bejegyzéseibe. A rosszindulatú kód egy backdoort hoz létre a weboldal gyökérkönyvtárában, amely lehetővé teszi a támadóknak, hogy távolról parancsokat küldjenek az oldalnak. A backdoor akkor aktiválódik, amikor a támadók meglátogatják az érintett oldalakat vagy bejegyzéseket.
A Sucuri kutatói szerint a támadások mögött három IP-cím áll, amelyek több ezer letöltést generáltak a bővítményből. A kutatók azt is megfigyelték, hogy a támadók sikeresen bejelentkeztek az adminisztrátori felületre néhány fertőzött weboldalon, és új adminisztrátori fiókokat hoztak létre véletlenszerű nevekkel és outlook.com e-mail-címekkel.
A Sucuri szerint ez a támadás rávilágít arra, hogy milyen veszélyesek lehetnek azok a régi és elhagyott bővítmények, amelyek még mindig megtalálhatók a WordPress repozitóriumban. Ezeket a bővítményeket könnyen kihasználhatják a kiberbűnözők arra, hogy backdoort telepítsenek a WordPress weboldalakra, és így hozzáférjenek az adminisztrátori jogosultságokhoz vagy más kártékony tevékenységeket végezzenek.
A WordPress weboldalak tulajdonosainak és fejlesztőinek ezért javasolt olyan bővítményeket használniuk, amelyek rendszeresen frissülnek és biztonságosnak tekinthetők.
Emellett érdemes használni egy biztonsági bővítményt vagy szolgáltatást is, amely figyelmezteti őket a gyanús tevékenységekről, segít eltávolítani a rosszindulatú kódokat és megvédi az oldalukat a jövőbeli támadásoktól. A WordPress bővítmények között számos olyan van, amely kifejezetten a WordPress biztonságára összpontosít, és különböző funkciókat kínál, mint például:
- Tűzfal: egy webalkalmazás tűzfal felismeri és blokkolja a rosszindulatú forgalmat, és megakadályozza a sebezhetőségek kihasználását.
- Malware szkennelés: egy malware szkennelő ellenőrzi a WordPress magfájlokat, a bővítményeket és a témákat malware, rossz URL-ek, hátsó ajtók, SEO spam, átirányítások és kódinjekciók után.
- Bejelentkezési biztonság: egy bejelentkezési biztonsági modul védi az oldalt a brute force támadásoktól korlátozva a bejelentkezési kísérletek számát, használva a kétfaktoros hitelesítést és blokkolva a rosszindulatú IP-címeket.
- Központosított kezelés: egy központosított kezelési felület lehetővé teszi az adminisztrátoroknak, hogy több WordPress oldalt egyszerre lássanak el és konfiguráljanak biztonsági beállításokkal.
- Incidensválasz: egy incidensválasz csapat segít az adminisztrátoroknak felismerni és kezelni a biztonsági incidenseket, javaslatokat téve a megoldásra és a helyreállításra.
Néhány példa a népszerű WordPress biztonsági bővítményekre:
- Wordfence: több mint 3 millió aktív telepítéssel rendelkezik, és egy átfogó biztonsági megoldást nyújt WordPress oldalakhoz. Tartalmaz egy végponti tűzfalat, malware szkennert, bejelentkezési biztonsági funkciókat, élő forgalmi nézetet és még sok mást.
- Sucuri: több mint 800 ezer aktív telepítéssel rendelkezik, és egy felhőalapú biztonsági platformot kínál WordPress oldalakhoz. Tartalmaz egy webalkalmazás tűzfalat, malware szkennert és eltávolítót, DDoS védelmet és SSL tanúsítványt.
- iThemes Security: több mint 1 millió aktív telepítéssel rendelkezik, és több mint 30 biztonsági funkciót tartalmaz WordPress oldalakhoz. Tartalmaz brute force védelmet, fájlrendszer védelmet, malware szkennert, kétfaktoros hitelesítést és még sok mást.
Forrás: nki.gov.hu
takacsa