El objetivo de esta última campaña fue comprometer el archivo wp-config-php
Un actor de amenazas que intentó insertar una puerta trasera en casi un millón de sitios basados en WordPress a principios de mayo (y continuó intentándolo durante todo el mes), intentó capturar los archivos de configuración de WordPress de 1.3 millones de sitios al final del mismo mes.
En ambos casos, el actor de la amenaza intentó explotar antiguas vulnerabilidades en plugins y temas obsoletos de WordPress.
Los últimos ataques
“Las campañas XSS informadas anteriormente enviaron ataques desde más de 20.000 direcciones IP diferentes. La nueva campaña está utilizando las mismas direcciones IP, que representaron la mayoría de los ataques y sitios objetivo. Esta campaña también está atacando a casi un millón de sitios nuevos que no se incluyeron en las campañas XSS anteriores", compartió el analista de amenazas de Wordfence, Ram Gall.
El objetivo de esta última campaña fue comprometer el archivo wp-config-php, que contiene credenciales de la base de datos, información de conexión, claves de autenticación y sales.
"Un atacante con acceso a este archivo podría obtener acceso a la base de datos del sitio, donde se almacena el contenido y los usuarios del sitio", señaló Gall.
No dijo en qué plugins y temas específicos se enfocaron los atacantes, pero dijo que la mayoría de las vulnerabilidades están en temas o plugins diseñados para permitir descargas de archivos al leer el contenido de un archivo solicitado en una cadena de consulta y luego servirlo como un archivo descargable.
¿Cómo verificar si tus sitios han sido afectados?
No se debe intentar bloquear las conexiones de todas las direcciones IP de ataque, porque simplemente hay demasiadas, pero sería una buena idea hacerlo para las 10 principales direcciones IP de ataque.
Los administradores del sitio pueden verificar en los registros de su servidor las entradas de registro que contienen wp-config.php en la cadena de consulta que devolvió un código de respuesta 200. Si los encuentran y los datos han sido transferidos, es probable que estos sitios hayan sido comprometidos por estos atacantes.
Deben cambiar de inmediato la contraseña de su base de datos y las claves y sales únicas de autenticación, pero no sin actualizar primero el archivo de configuración de WP.
"Si no te sientes cómodo haciendo [estos cambios], comunícate con tu host, ya que cambiar la contraseña de tu base de datos sin actualizar el archivo wp-config.php puede dejar fuera de línea temporalmente tu sitio", advirtió.
No hay que decir que los administradores deben actualizar periódicamente los plugins y eliminarlos si ya no se usan.
