Atacantes intentaron tomar archivos de configuración de WordPress de más de un millón de sitios

- Seguridad
- Posted
- ¡Escribe el primer comentario!
- Visto 192 veces
El objetivo de esta última campaña fue comprometer el archivo wp-config-php
Un actor de amenazas que intentó insertar una puerta trasera en casi un millón de sitios basados en WordPress a principios de mayo (y continuó intentándolo durante todo el mes), intentó capturar los archivos de configuración de WordPress de 1.3 millones de sitios al final del mismo mes.
En ambos casos, el actor de la amenaza intentó explotar antiguas vulnerabilidades en plugins y temas obsoletos de WordPress.
Los últimos ataques
“Las campañas XSS informadas anteriormente enviaron ataques desde más de 20.000 direcciones IP diferentes. La nueva campaña está utilizando las mismas direcciones IP, que representaron la mayoría de los ataques y sitios objetivo. Esta campaña también está atacando a casi un millón de sitios nuevos que no se incluyeron en las campañas XSS anteriores", compartió el analista de amenazas de Wordfence, Ram Gall.
El objetivo de esta última campaña fue comprometer el archivo wp-config-php, que contiene credenciales de la base de datos, información de conexión, claves de autenticación y sales.
"Un atacante con acceso a este archivo podría obtener acceso a la base de datos del sitio, donde se almacena el contenido y los usuarios del sitio", señaló Gall.
No dijo en qué plugins y temas específicos se enfocaron los atacantes, pero dijo que la mayoría de las vulnerabilidades están en temas o plugins diseñados para permitir descargas de archivos al leer el contenido de un archivo solicitado en una cadena de consulta y luego servirlo como un archivo descargable.
¿Cómo verificar si tus sitios han sido afectados?
No se debe intentar bloquear las conexiones de todas las direcciones IP de ataque, porque simplemente hay demasiadas, pero sería una buena idea hacerlo para las 10 principales direcciones IP de ataque.
Los administradores del sitio pueden verificar en los registros de su servidor las entradas de registro que contienen wp-config.php en la cadena de consulta que devolvió un código de respuesta 200. Si los encuentran y los datos han sido transferidos, es probable que estos sitios hayan sido comprometidos por estos atacantes.
Deben cambiar de inmediato la contraseña de su base de datos y las claves y sales únicas de autenticación, pero no sin actualizar primero el archivo de configuración de WP.
"Si no te sientes cómodo haciendo [estos cambios], comunícate con tu host, ya que cambiar la contraseña de tu base de datos sin actualizar el archivo wp-config.php puede dejar fuera de línea temporalmente tu sitio", advirtió.
No hay que decir que los administradores deben actualizar periódicamente los plugins y eliminarlos si ya no se usan.
Artículos relacionados (por etiqueta)
- Así es como los piratas informáticos de SolarWinds permanecieron sin ser detectados durante el tiempo suficiente
- Nuevo ataque permite a los hackers eludir la protección del firewall y acceder a cualquier servicio TCP/UDP
- La botnet KashmirBlack secuestra miles de sitios que se ejecutan en populares plataformas de CMS
- Nuevo ataque de Día cero activo en Google Chrome - Actualiza ahora tu navegador
- ¡ALERTA! Hackers apuntan a dispositivos IoT con un nuevo malware de botnet P2P
- Nuevo informe explica el impacto de la COVID-19 en la seguridad cibernética
Lo último de Jesús Cáceres
- Cómo obtener información de ubicación de una dirección IP
- Cuidado: un nuevo malware de Android con gusanos se propaga a través de WhatsApp
- El plan de Twitter para descentralizar las redes sociales
- Google rediseña la búsqueda móvil en Android e iOS para que sea más fácil de leer
- Compartir un eBook con tu Kindle podría haber permitido a los hackers secuestrar tu cuenta
Deja tus comentarios
- Publicar comentario como invitado. Regístrate o ingresaa tu cuenta