Atacantes intentaron tomar archivos de configuración de WordPress de más de un millón de sitios
- Seguridad
- Posted
- ¡Escribe el primer comentario!
- Visto 154 veces
El objetivo de esta última campaña fue comprometer el archivo wp-config-php
Un actor de amenazas que intentó insertar una puerta trasera en casi un millón de sitios basados en WordPress a principios de mayo (y continuó intentándolo durante todo el mes), intentó capturar los archivos de configuración de WordPress de 1.3 millones de sitios al final del mismo mes.
En ambos casos, el actor de la amenaza intentó explotar antiguas vulnerabilidades en plugins y temas obsoletos de WordPress.
Los últimos ataques
“Las campañas XSS informadas anteriormente enviaron ataques desde más de 20.000 direcciones IP diferentes. La nueva campaña está utilizando las mismas direcciones IP, que representaron la mayorÃa de los ataques y sitios objetivo. Esta campaña también está atacando a casi un millón de sitios nuevos que no se incluyeron en las campañas XSS anteriores", compartió el analista de amenazas de Wordfence, Ram Gall.
El objetivo de esta última campaña fue comprometer el archivo wp-config-php, que contiene credenciales de la base de datos, información de conexión, claves de autenticación y sales.
"Un atacante con acceso a este archivo podrÃa obtener acceso a la base de datos del sitio, donde se almacena el contenido y los usuarios del sitio", señaló Gall.
No dijo en qué plugins y temas especÃficos se enfocaron los atacantes, pero dijo que la mayorÃa de las vulnerabilidades están en temas o plugins diseñados para permitir descargas de archivos al leer el contenido de un archivo solicitado en una cadena de consulta y luego servirlo como un archivo descargable.
¿Cómo verificar si tus sitios han sido afectados?
No se debe intentar bloquear las conexiones de todas las direcciones IP de ataque, porque simplemente hay demasiadas, pero serÃa una buena idea hacerlo para las 10 principales direcciones IP de ataque.
Los administradores del sitio pueden verificar en los registros de su servidor las entradas de registro que contienen wp-config.php en la cadena de consulta que devolvió un código de respuesta 200. Si los encuentran y los datos han sido transferidos, es probable que estos sitios hayan sido comprometidos por estos atacantes.
Deben cambiar de inmediato la contraseña de su base de datos y las claves y sales únicas de autenticación, pero no sin actualizar primero el archivo de configuración de WP.
"Si no te sientes cómodo haciendo [estos cambios], comunÃcate con tu host, ya que cambiar la contraseña de tu base de datos sin actualizar el archivo wp-config.php puede dejar fuera de lÃnea temporalmente tu sitio", advirtió.
No hay que decir que los administradores deben actualizar periódicamente los plugins y eliminarlos si ya no se usan.
ArtÃculos relacionados (por etiqueta)
- Procesadores Intel, ARM, IBM, AMD vulnerables a nuevos ataques de canal lateral
- Nuevo ataque aprovecha HTTP/2 para fugas de canal lateral de temporización remota efectiva
- WordPress traerá incorporada una función de mapa del sitio XML
- Los espÃas pueden escuchar tus conversaciones mirando una bombilla de la habitación
- CPUs de Intel vulnerables a los nuevos ataques de canal lateral 'SGAxe' y 'CrossTalk'
- Investigadores chinos desactivan ataque de malware que infectó a miles de PC
Lo último de Jesús Cáceres
- Procesadores Intel, ARM, IBM, AMD vulnerables a nuevos ataques de canal lateral
- El gobierno de EE. UU. advierte sobre una nueva cepa del virus chino 'Taidoor'
- Microsoft considera a CCleaner una aplicación potencialmente no deseada
- Nuevo ataque aprovecha HTTP/2 para fugas de canal lateral de temporización remota efectiva
- ¿Por qué desenchufar un dispositivo soluciona muchos problemas?
Deja tus comentarios
- Publicar comentario como invitado. RegÃstrate o ingresaa tu cuenta