新しい悪意のあるキャンペーンにより、15,000 以上の WordPress Web サイトが侵害されました
訪問者を偽の Q&A ポータルにリダイレクトしようとする新しい悪意のあるキャンペーンにより、15000 以上の WordPress Web サイトが侵害されました。が先週公開され、「巧妙なブラック ハット SEO トリック」と呼ばれています。
攻撃者は、質の低い偽の Q&A サイトをいくつか運営しています。検索エンジン ポイズニング手法は、同様の Web サイト構築テンプレートを共有する偽のサイトを宣伝するように設計されています。
このキャンペーンの注目すべき側面は、ハッカーが Web サイトごとに平均 100 を超えるファイルを変更できることです。これは、限られた数のファイルのみを改ざんしてフットプリントを減らし、検出を逃れるこの種の他の攻撃とは劇的に対照的なアプローチです。
最もよく感染するページには、wp-signup.php、wp-cron.php、wp-links-opml.php、wp-settings.php、wp-comments-post.php、wp-mail.php、xmlrpc などがあります。 .php、wp-activate.php、wp-trackback.php、および wp-blog-header.php。
この広範な侵害により、マルウェアは、攻撃者が選択した Web サイトへのリダイレクトを実行できます。 wordpress_logged_in Cookie が存在する場合、または現在のページが wp-login.php (つまり、ログイン ページ) である場合は、疑念を抱かないようにリダイレクトが行われないことに注意してください。
このキャンペーンの最終的な目標は、「偽のサイトへのトラフィックを増やす」ことと、「偽の検索結果のクリックを使用してサイトのオーソリティを高め、Google のランク付けを改善し、実際のオーガニック検索トラフィックを増やすこと」です。
挿入されたコードは、「ois[.]is」という名前のドメインでホストされている PNG 画像へのリダイレクトを開始することでこれを実現します。この画像は、画像をロードする代わりに、Web サイトの訪問者をスパム Q&A ドメインの Google 検索結果 URL に誘導します。
WordPress サイトがどのように侵害されたのかはすぐには明らかではなく、Sucuri はキャンペーンを実行するために悪用された明らかなプラグインの欠陥に気付かなかったと述べています.
とはいえ、WordPress の管理者アカウントをブルート フォース攻撃した疑いがあるため、ユーザーが 2 要素認証を有効にし、すべてのソフトウェアが最新であることを確認することが不可欠です。