Hơn 15.000 trang web WordPress bị xâm nhập

Các nhà nghiên cứu bảo mật tại Sucuri vừa khám phá một chiến dịch độc hại xâm nhập hơn 15.000 trang web WordPress để chuyển truy cập đến các cổng hỏi đáp giả mạo.

1. Hơn 15.000 trang web WordPress bị xâm nhập

Theo The Hacker News, nhà nghiên cứu bảo mật Ben Martin của Sucuri nhận định:

Sự chuyển hướng có chủ đích là để tăng “quyền (authority)” cho các trang web của kẻ tấn công đối với các công cụ tìm kiếm…

Kỹ thuật lừa công cụ tìm kiếm được thiết kế để đẩy mạnh ‘một số trang Q&A chất lượng thấp’ có cùng template dựng trang và được vận hành bởi cùng một tác nhân.

Hơn 15.000 trang web WordPress bị chuyển hướng trái phép

Đây là kỹ thuật đầu độc công cụ tìm kiếm để quảng bá một số trang web hỏi đáp chất lượng thấp giả mạo, chia sẻ các mẫu website tương tự, được điều hành bởi cùng một tổ chức.

Điểm đáng chú ý của chiến dịch là tin tặc có khả năng sửa đổi trung bình hơn 100 tập tin trên mỗi website, cách tiếp cận trái ngược hoàn toàn với các cuộc tấn công thuộc loại này, trong đó chỉ một số tập tin bị giả mạo để xóa dấu vết. Các website bị lây nhiễm sẽ bị thay đổi trong các tập tin wp-signup, wp-cron, wp-links-opml, wp-settings, wp-comments-post, wp-mail, xmlrpc, wp-activate, wp-trackback và wp-blog-header.php.

Điểm chung của chiến dịch là các website WordPress đều bị chèn một đoạn mã đến hình ảnh trên website ois_dot_is

 

Sự xâm phạm trên phạm vi lớn như này cho phép mã độc thực hiện chuyển hướng đến các trang web mà kẻ tấn công lựa chọn. Đặc biệt, việc chuyển hướng sẽ không xảy ra nếu có sử dụng cookie wordpress_logged_in hoặc nếu trang hiện tại là wp-login.php (tức là trang đăng nhập) để tránh gây nghi ngờ. Điểm chung là các website bị tin tặc chiếm đoạt sẽ bị chèn một liên kết đến hình ảnh PNG được chứa tại tên miền ois_dot_is. Và thay vì sẽ tải trang, khách truy cập sẽ bị đưa đến một kết quả tìm kiếm trên Google có hiển thị địa chỉ tên miền Q&A của tin tặc.

Mục tiêu cuối cùng của chiến dịch là ‘thúc đẩy nhiều lưu lượng truy cập hơn đến các trang web giả mạo’ và ‘tăng quyền hạn của các trang web’ bằng cách sử dụng các click kết quả tìm kiếm giả mạo để Google xếp hạng chúng tốt hơn, giúp chúng nhận được nhiều lưu lượng truy cập tìm kiếm mà không phải trả tiền.

Hơn 15.000 trang web WordPress bị xâm nhập

2. Lý do và giải pháp cho việc hơn 15.000 trang web WordPress bị xâm nhập?

Hiện vẫn chưa rõ làm thế nào các trang web WordPress bị xâm phạm. Theo Sucuri, chưa phát hiện thấy bất kỳ lỗi nào liên quan đến plugin đang bị khai thác để thực hiện chiến dịch này. Họ nghi ngờ đây là một trường hợp brute force tài khoản admin trên WordPress, các nhà nghiên cứu cũng cho rằng việc chiếm được tài khoản quản trị website WordPress là thông qua tấn công brute-force mật khẩu. Vì vậy, người dùng cần kích hoạt xác thực hai yếu tố và đảm bảo rằng tất cả phần mềm, plugin đều được cập nhật.

WordPress bị xâm nhập Trên đây là thông tin về việc hơn 15.000 trang web WordPress bị chuyển hướng trái phép. Mọi thông tin khác sẽ được cập nhật tại trang Blog.

Mọi thắc mắc vui lòng để lại dưới phần bình luận hoặc liên hệ với HOSTVN, chúng tôi sẵn sàng hỗ trợ bạn miễn phí ngay lập tức!

• Website: https://chowebs.com
• Điện thoại: 0988 123 126