Atacantes intentaron tomar archivos de configuración de WordPress de más de un millón de sitios
- Seguridad
- Posted
- ¡Escribe el primer comentario!
- Visto 141 veces
El objetivo de esta última campaña fue comprometer el archivo wp-config-php
Un actor de amenazas que intentó insertar una puerta trasera en casi un millón de sitios basados en WordPress a principios de mayo (y continuó intentándolo durante todo el mes), intentó capturar los archivos de configuración de WordPress de 1.3 millones de sitios al final del mismo mes.
En ambos casos, el actor de la amenaza intentó explotar antiguas vulnerabilidades en plugins y temas obsoletos de WordPress.
Los últimos ataques
“Las campañas XSS informadas anteriormente enviaron ataques desde más de 20.000 direcciones IP diferentes. La nueva campaña está utilizando las mismas direcciones IP, que representaron la mayoría de los ataques y sitios objetivo. Esta campaña también está atacando a casi un millón de sitios nuevos que no se incluyeron en las campañas XSS anteriores", compartió el analista de amenazas de Wordfence, Ram Gall.
El objetivo de esta última campaña fue comprometer el archivo wp-config-php, que contiene credenciales de la base de datos, información de conexión, claves de autenticación y sales.
"Un atacante con acceso a este archivo podría obtener acceso a la base de datos del sitio, donde se almacena el contenido y los usuarios del sitio", señaló Gall.
No dijo en qué plugins y temas específicos se enfocaron los atacantes, pero dijo que la mayoría de las vulnerabilidades están en temas o plugins diseñados para permitir descargas de archivos al leer el contenido de un archivo solicitado en una cadena de consulta y luego servirlo como un archivo descargable.
¿Cómo verificar si tus sitios han sido afectados?
No se debe intentar bloquear las conexiones de todas las direcciones IP de ataque, porque simplemente hay demasiadas, pero sería una buena idea hacerlo para las 10 principales direcciones IP de ataque.
Los administradores del sitio pueden verificar en los registros de su servidor las entradas de registro que contienen wp-config.php en la cadena de consulta que devolvió un código de respuesta 200. Si los encuentran y los datos han sido transferidos, es probable que estos sitios hayan sido comprometidos por estos atacantes.
Deben cambiar de inmediato la contraseña de su base de datos y las claves y sales únicas de autenticación, pero no sin actualizar primero el archivo de configuración de WP.
"Si no te sientes cómodo haciendo [estos cambios], comunícate con tu host, ya que cambiar la contraseña de tu base de datos sin actualizar el archivo wp-config.php puede dejar fuera de línea temporalmente tu sitio", advirtió.
No hay que decir que los administradores deben actualizar periódicamente los plugins y eliminarlos si ya no se usan.
Artículos relacionados (por etiqueta)
- Los espías pueden escuchar tus conversaciones mirando una bombilla de la habitación
- CPUs de Intel vulnerables a los nuevos ataques de canal lateral 'SGAxe' y 'CrossTalk'
- Investigadores chinos desactivan ataque de malware que infectó a miles de PC
- Nueva vulnerabilidad de DNS permite a los atacantes lanzar ataques DDoS a gran escala
- Ataques de suplantación de identidad piratearon con éxito a altos ejecutivos de más de 150 empresas
- Hackers atacan con ransomware las instalaciones críticas de atención médica durante la pandemia de coronavirus
Lo último de Jesús Cáceres
- Cómo saber si alguien te ha bloqueado en WhatsApp
- La policía arresta a cientos de delincuentes después de piratear una red de chat encriptada
- Microsoft lanza actualización urgente de Windows para parchear dos fallas críticas
- Cómo guardar un documento o imagen como PDF en Windows 10
- Hackers de comercio electrónico ocultan el robo de tarjetas de crédito dentro de los metadatos de imagen
Deja tus comentarios
- Publicar comentario como invitado. Regístrate o ingresaa tu cuenta