Експерти компанії Wordfence виявили новий тип web-атак, під час яких зловмисники використовують незавершені інсталяції WordPress.

Тобто, атаки ґрунтуються на сайтах, куди користувачі вже завантажили систему управління контентом (CMS) WordPress, нот так і не встановили її до кінця. Такі ресурси відкриті для зовнішніх підключень, і хто завгодно може отримати доступ до панелі установки і завершити процес інсталяції CMS.

За даними Wordfence, з кінця травня і до середини червня поточного року різко зросла кількість сканувань інтернету на наявність інсталяцій WordPress з настановним файлом. Дослідники виявили як мінімум одного хакера, який отримав доступ до сайту, де CMS не була встановлена до кінця. Невідомий завантажив пароль і логін своєї власної бази даних і завершив процес інсталяції. Таким чином, він забезпечив собі можливість керувати сайтом через заново створений обліковий запис адміністратора і через редактор файлів впроваджувати та виконувати шкідливий код для отримання контролю над чужим сервером. Зловмисник також встановив власний плагін для виконання шкідливого коду.

Одночасно із зростанням числа сканувань в червні 2017 року збільшилася кількість атак на сайти під управлінням WordPress. Найчастіше атаки здійснювалися з IP-адрес в Росії, Україні та США.

Джерела:

ITHelpBlog.pro
securitylab.ru