Хакеры научились устанавливать бэкдоры в WordPress через плагин Jetpack

Хакеры научились устанавливать бэкдоры в WordPress через плагин Jetpack

Авторы плагина Wordfence для WordPress объявили о том, что ими был выявлен новый способ атаки на сайты, под управлением WordPress. «Слабым звеном», позволяющим злоумышленнику получить контроль над сайтом, стал в этот раз сверхпопулярный плагин Jetpack от самих разработчиков WordPress.

Суть метода заключается в следующем:

  1. Злоумышленник подбирает логин/пароль к учетной записи на сайте WordPress.com.
  2. При обнаружении включенной привязки плагина Jetpack к сайту WordPress.com злоумышленник устанавливает на целевой сайт вредоносный плагин pluginsamonsters или wpsmilepack. Похоже, злоумышленники со временем меняют название плагина.
  3. Плагин отображается на панели инструментов WordPress.com, но невидим в списке плагинов самого сайта WordPress, когда он активен.

Как известно пользователям плагином Jetpack — учетная запись на самом сайте имеет логин/пароль, который может отличаться от логина/пароля для доступа к сайту Worpress.com.

Конечно, для проведения описанной выше атаки необходимо стечение слишком большого количества обстоятельств:

  1. У владельца сайта должен быть установлен Jetpack.
  2. Jetpack дуправляется из учетной записи на WordPress.com.
  3. У учетной записи WordPress.com должны быть скомпрометированы учетные данные. 
  4. У учетной записи к WordPress.com не включена двухфакторная аутентификация.

Рекомендации для владельцев сайтов на WordPress:

  1. Используйте сильный пароль для доступа к аккаунту WordPress.com или измените его на более сильный.
  2. Убедитесь, в консоли сайта WordPress.com, что все работающие у вас плагин были установлены именно вами и нет никаких «странных» плагинов.
  3. Включите двухфакторную аутентификацию.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.