13/12/21
Аналитики компании Wordfence на этой неделе зафиксировали огромную волную атак на 1,6 млн сайтов под управлением WordPress. Атаки исходят с 16 тыс. IP-адресов.
Злоумышленники атакуют четыре плагина WordPress и 15 тем Epsilon Framework, и для одной из них исправление безопасности еще не выпущено.
Патчи для некоторых атакуемых плагинов были выпущены еще в 2018 году, а других вышли только на этой неделе. Затронутые плагины: PublishPress Capabilities, Kiwi Social Plugin, Pinterest Automatic и WordPress Automatic.
Затронутые темы Epsilon Framework: Shapely, NewsMag, Activello, Illdy, Allegiant, Newspaper X, Pixova Lite, Brilliance, MedZone Lite, Regina Lite, Transcend, Affluent, Bonkers, Antreas и NatureMag Lite (без патча).
Как пояснили аналитики, в большинстве случаев злоумышленники обновляют опцию users_can_register, включая и настраивая опцию default_role в качестве администратора. Благодаря этому они могут регистрироваться на любом сайте с привилегиями администратора и получать над ним контроль.
Для того чтобы проверить, был ли скомпрометирован сайт, операторам следует проверить все учетные записи пользователей на предмет наличия вредоносных добавлений, которые в случае обнаружения должны быть немедленно удалены.
Затем нужно проверить настройки сайта здесь: http://examplesite[.]com/wp-admin/options-general.php и проверить участников и настройки роли по умолчанию для новых пользователей.
Также рекомендуется как можно скорее обновить плагины и темы, даже если они отсутствуют в представленных выше списках. В случае использования темы NatureMag Lite, для которой исправления нет, ее следует удалить.
Обновления плагинов и тем на уже скомпрометированных сайтах не устранит угрозу.
