W Polsce WordPress dominuje jako najpopularniejszy system zarządzania treścią (CMS), stanowiąc 81,20% polskich stron internetowych (dane z 2023 roku).
Jeśli odwiedzasz witrynę i zostajesz przekierowany na podejrzaną witrynę oferującą wygrane na loterii lub zmuszającą do włączenia powiadomień push, oznacza to, że Twoja witryna mogła zostać zainfekowana.
Niestety tego typu przekierowania są oznaką posiadania przez atakującego pełnego dostępu do treści i kontroli nad odwiedzanymi przez Ciebie witrynami.
Szkodnik zwany Balada Injector systematycznie wykorzystuje luki we wtyczkach WordPress od 2017 roku, w celu uzyskania uprawnień administracyjnych na zainfekowanych stronach internetowych.
W ostatnim czasie w po popularnej wtyczce WordPress Popup Builder (wtyczka ta służy do tworzenia „wyskakujących okienek” ) wykryto lukę bezpieczeństwa i od 13 grudnia 2023 rozpoczęła się kolejna fala infekcji stron internetowych działających w oparciu o ten CMS.
Tym razem w popularnej wtyczce Popup Builder do wersji 4. została odkryta luka CVE-2023-6000.
Pomyślne wykorzystanie tej luki umożliwiało osobie atakującej wykonanie dowolnych działań w panelu administracyjnym witryny, takich jak zainstalowanie innych wtyczek lub utworzenie nowych kont administratorów. Szczegóły techniczne dotyczące wstrzykiwania złośliwego kodu i wykrywania obecności opisano na blogu Sucuri. Łącznie zainfekowanych zostało kila tysięcy stron www.
Jak zabezpieczyć swoją stronę przed włamaniami?
- Właściwa ochrona polega przede wszystkim na systematycznej aktualizacji oprogramowania, w tym używanych wtyczek, a jeśli nie są już wspierane, należy je usunąć.
- Dobrym sposobem jest wykorzystanie wbudowanego mechanizmu automatycznej aktualizacji wtyczek.
- Warto pamiętać też o korzystaniu z uwierzytelniania dwuskładnikowego, unikalnych i silnych haseł oraz ograniczaniu uprawnień użytkowników.
Niestety w przypadku wykrycia infekcji strony internetowej, usunięcie podatnych na ataki wtyczek nie wystarczy, aby zapobiec złośliwym przekierowaniom. Należy pamiętać, że osoba atakująca może mieć pełny dostęp do plików Twojej witryny. Należy śledzić i usuwać nieautoryzowane zmiany w kodzie swojej witryny oraz przeglądać listę użytkowników w celu zmiany ich haseł.
Najbezpieczniejszym rozwiązaniem jest zbudowanie witryny od podstaw bez kopiowania plików pomiędzy serwerami lub skorzystanie z kopii zapasowej z czasu, gdy witryna nie była jeszcze zainstalowana.
Ponadto osoba usuwająca skutki ataku musi założyć, że osoba atakująca uzyskała wszystkie informacje zawarte na stronie internetowej i powiązanych bazach danych.
