Na 900 000 instalací nejrozšířenějšího CMS WordPress se stalo terčem útoku neznámé hackerské skupiny.Cílem útoku bylo přesměrovat návštěvníky na zákeřné weby, které je mají okrást o citlivé údaje formou phishingu či zkusit proniknout malwarem do operačních systémů obětí. Dá se takovým útokům bránit?
Na WordPress mířilo od 28. dubna 2020 přes 900 000 útoků, za jejichž zdroj považují experti IT security Wordfence jedinou hackerskou skupinu. Internetový provoz se při útocích postupně zvyšoval.
Kulminoval v neděli 3. května, „kdy došlo k celkem 20 000 000 pokusů o průnik na více než 500 000 domén,“ vyčísluje mohutnost agrese Ram Gall z týmu Wordfence.
„Za poslední měsíc jsme napočítali 24 000 různých IP adres, které odesílaly požadavky odpovídající tomuto útoku.“
Útočný kód zjišťující administrátorské přihlášení do WordPressu
Primárním záměrem útoku bylo vložení JavaScriptu, který by oběti přesměřoval na zákeřné weby a tam se je pokusil zneužít. Sekundárně se kód snažil identifikovat administrátorské přihlášení, ukrást jeho údaje a instalovat backdoor do instalace WordPressu.
Odhalená verze backdooru, který se pokoušel dostat do záhlaví šablony webu
Útoky opět potvrdily fakt, že nejslabším místem jsou neaktualizované pluginy a nezazáplátované zranitelnosti. Smutným faktem ovšem jest, že všechny tyto zranitelnosti jsou známé, aktivně zneužívány byly již dříve a většina už je dokonce i záplatována:
- XSS zranitelnost pluginu Easy2Map, který byl z repozitáře WordPress odstraněn v r. 2019;
- XSS zranitelnost pluginu Blog Designer, záplatována v r. 2019;
- zranitelnost nastavení pluginu WP GDPR Compliance, záplatována v r. 2018;
- zranitelnost nastavení pluginu Total Donations, který byl odstraněn z nabídky Envato Marketplace na začátku r. 2019;
- XSS zranitelnost tématu Newspaper, záplatována v r. 2016.
Jak se bezpečnostním incidentům bránit?
Popsané útoky jsou typické. Nejde o sofistikované napadnutí jednoho webu z jednoho zdroje. Naopak – běžný je hromadný pokus napadnout co největší množství cílů. Sice jedním původcem, ale obvykle maskujícím se za stovky a tisíce zdrojů.
Naprostými základy obrany, kterými disponuje každé profesionální řešení, jsou:
– automatická aktualizace WordPressu;
– správa a aktualizace pluginů, eliminace nepodporovaných a jejich nahrazení aktivně vyvíjenými pluginy;
– ochrana před útoky hrubou silou (jako jsou mnohonásobné pokusy o přihlášení);
– volba silných přihlašovacích údajů.
Více o bezpečnosti webu zde.
V rámci širší ochrany lze pak implementovat Web Application Firewal, upravit konfiguraci serveru pomocí .htaccess, zapojit CDN…
Ale základ je základ, bez toho to nejde.
Zdroje: Wordfence.com, fotka od Pete Linforth z Pixabay, fotka od Darwin Laganzon z Pixabay