В течение месяца на  администрируемых  сайтах наблюдалась подозрительная активность. После 5 мая лаборатория антивирусного обеспечения ESET опубликовала статью, в которой сообщила, что я не единственный, кто обнаружил хакерскую активность. Почти миллион интернет-ресурсов на популярном движке Wordpress подвергся атакам злоумышленников в течении апреля и мая 2020-го года.

Вот что сообщает нам специалист ESET Amer Owaida (источник (en.)):

“За прошедшую неделю более 900 000 веб-сайтов на WordPress были выбраны неизвестными злоумышленниками для крупномасштабной хакерской кампании. Defiant, выпускающий подключаемые модули безопасности Wordfence, заявил, что 28 апреля он начал замечать и отслеживать всплеск атак, направленных на уязвимости – в частности межсайтовый скриптинг (XSS). Масштабная кампания в конечном итоге привела к 30-кратному увеличению трафика.
Основываясь на вредоносной нагрузке, Defiant подозревает, что большинство этих атак выполняется одним злоумышленником. По словам инженера по тестированию Wordfence Рама Галла, киберпреступник начал с небольшого объема атак и не наращивал усилия до прошлой недели, когда 3 мая кампания достигла 20 миллионов попыток атак на более чем полмиллиона сайтов.
«Всего за последний месяц мы обнаружили более 24 000 различных IP-адресов, отправляющих запросы, соответствующие этим атакам, на более чем 900 000 сайтов», – добавил он. Неудача нацеливается на межсайтовый скриптинг (XSS), а также на другие уязвимости в попытке внедрить вредоносный код в сайты, которые затем перенаправляют посетителей на сайты, рекламирующие вредоносные программы.
Стоит отметить, что обновления безопасности доступны для уязвимостей, находящихся в эксплуатации, и что исправления были выпущены месяцы, а в некоторых случаях даже годы назад.
Три из пяти целевых уязвимостей связаны с XSS. Один из них затрагивает плагин Easy2Map, на который приходится более половины атак и, вероятно, он установлен на менее чем 3000 веб-сайтов. Вторая дыра в безопасности находится в Blog Designer и была исправлена в прошлом году. Плагин уже был целью ранее, и, по оценкам Defiant, до сих пор существует около 1000 уязвимых установок. Третья уязвимость XSS обнаружена в теме «Newspaper», которая также была в центре атак в прошлом и имеет заплатки и исправления, сделанные еще в 2016 году.
И еще два момента – это уязвимости в обновлениях опций. Одна из них затрагивает плагин WP GDPR Compliance, исправленный в 2018 году, и мы ранее писали о кампании, которая пыталась захватить контроль над веб-сайтами с помощью этого плагина. Другой касается плагина Total Donations, который был удален с Envato Marketplace в 2019 году. Каждая из этих уязвимостей позволяет хакерам изменять домашний веб-адрес сайта.
Исследователи подозревают, что злоумышленник достаточно опытен, чтобы нацеливаться на другие уязвимости в будущем. Лучший совет для администраторов сайтов WordPress – старый, как мир: обновляйте основное программное обеспечение WordPress и все плагины. Также важно отключить и удалить любые оставленные или ненужные плагины, поскольку они только увеличивают поверхность атаки на WordPress.”

От себя хочу добавить, что атака на сайты, находящиеся у меня в администрировании не ограничилась XSS. Начиналось все довольно безобидно – с середины апреля хакер тестировал сайт различными фреймворками, автоматизированными системами поиска уязвимостей, делал попытки XSS атак и SQL-инъекций, искал бэкапы и резервные копии конфигурационных файлов. Однако вчера я обнаружил подозрительную нагрузку на сервер, что было связано с брутфорсом админки сначала на одном, затем на другом сайте.

Несмотря на то, что к обеспечению безопасности ресурсов на Wordpress мною приложены значительные усилия, я обеспокоен подобной настойчивостью. Видимо, для хакера безуспешные атаки стали делом чести и, он не намерен отступать и сдаваться.

Самое любопытное, что брутфорс-атака проводилась с серверов Microsoft. Как такое возможно, могу пока только предполагать.

Будьте внимательны к своим ресурсам на CMS Wordpress!