מאות אתרי וורדפרס שנפגעו מריצים פרסומות דיוג (פישינג) זדוניות – כשהקוד מתיימר להיות פלאגינים לגיטימיים למערכת ניהול התוכן. חוקרי סייבר גילו תוכנה לא חוקית בה ניתן להרוויח כסף ולסכן מאות אתרים, תוך שימוש בגרסאות מיושנות של וורדפרס ושימוש באמצעי אבטחה חסרי ברק. הדפים המושפעים נאלצו להפעיל מודעות מזויפות המקושרות לאתרים זדוניים.

כדי להשיג זאת, פושעי סייבר פרצו לאתרי האינטרנט תוך שימוש בניצולים או התקפות של מילוי פרטים. על ידי הזרקת סקריפט PHP, הם הפכו את אתרי האינטרנט לנקודות פקודה ובקרה, שהגישו פרסומות זדוניות כשהן מופעלות על ידי סקריפטים בשלב שני או שנפתחו על ידי קישור. עובדה מעניינת שחשוב לציין כי התגלה שסקריפטי ה- PHP הזדוניים "התחפשו" כולם לפלאגינים לגיטימיים עבור מערכת ניהול התוכן של וורדפרס (CMS).

החוקרים טענו שקטע קוד JavaScript הספציפית הזו משכה את עיני הצוות בגלל ערפול כבד ותנאי פריסה מוזרים בקוד האתר. שהרי ערפול קוד הוא טכניקה המופעלת על ידי מפתחים לגיטימיים וגורמי איומים כדי למנוע הנדסה לאחור. במקרה זה, הוא שימש כדי להפוך את המטען בפועל עבור הסתרת קוד זדוני.

התקפות אוטומטיות הושקו אז נגד גרסאות ישנות יותר של אתרי וורדפרס כדי להכניס הפניות ב-HTML שלהם לנקודות פקודה ובקרה שנפרצו בעבר על ידי הכללת קוד JavaScript מעורפל שהפעיל את המנהרה של הפניות מחדש. ההערכה היא שהשלב הראשון של כל האיטרציות של מתקפה זו פגע בארבעה אתרי וורדפרס ששימשו לאירוח סקריפטים לפיקוד ובקרה, בעוד שהשלב השני מכוון בעיקר לגרסאות ישנות יותר החל מ-3.5.1. עד 4.9.1.

בדרך זו, צוות החוקרים גילה שהתוקפים הצליחו לסכן לפחות 560 אתרי וורדפרס, מה שאילץ 382 מהם להריץ קוד זדוני. למרבה המזל, עקב טעויות או אמצעי אבטחה מובנים של וורדפרס CMS, לא כל האתרים שנפגעו יצרו הכנסה עבור ההאקרים. יתרה מכך, רק 7 מתוך 10 האתרים התגלו כמציגים מודעות זדוניות, או בגלל סיבות טכניות או אבטחת נושא מובנית שמנעה מהקוד לפעול במקומות שבהם הוא לא היה אמור לפעול.

המדינה שנפגעה בצורה הקשה ביותר הייתה ארה"ב, שבה היו 201 אתרים שנפגעו, ואחריה צרפת (62 אתרים), גרמניה (51 אתרים) ובריטניה (34 אתרים).

שלושת ספקי האירוח שנפגעו בצורה הקשה ביותר היו GoDaddy (42 אתרים), WebsiteWelcome (30 אתרים) ו-OVH ISP (27 אתרים). כאשר הנתונים נוספו לאינדקס על ידי ספקית האינטרנט, עלתה תמונה מעט שונה: OVH SAS בראש הרשימה עם 55 אתרים שנפרצו, כאשר Unified Layer במקום השני (53 אתרים), ו-GoDaddy במקום השלישי (43 אתרים).

אבטחת איחסון האתרים היתה רשלנית

החוקרים דיווחו על האתרים שנפגעו לספקית השירות HostGator, שמאז הסירה את הקוד הזדוני וככל הנראה הודיעה לבעלי האתרים על ההפרה. הצוות הציע שהספק יכול היה לעשות יותר כדי לעזור לזהות אתרים שנפגעו ולדווח עליהם לבעלים, שבמקרים רבים לא עודכנו לגבי גרסאות חדשות יותר – מה שמותיר אותם מועדים להפרות.

כמה בעיות קריטיות בנושא אבטחת אחסון אתרי וורדפרס:

• חשוב שחברות אחסון שרתים לזהות מה מה הם מאחסנים, אך הבעיה עם בעלי אתרי וורדפרס היא שבהרבה מקרים הם לא מתעדכנים לגבי גרסאות חדשות יותר, מה שגורם להם להיות מועדים להפרות.
• מדוע גרסאות ישנות ופגיעות של וורדפרס נשמרות על ידי ספקי אירוח ברשימות השירותים שלהם ואינן מעודכנות כברירת מחדל? גרסאות ישנות יותר של וורדפרס, פגיעות יותר והן נשמרו ברשימות השירותים, במקום להתעדכן כברירת מחדל.
• כל מי שמתמצא מספיק בטכנולוגיה יודע שגרסאות תוכנה שהגיעו לסוף חייהן אינן בטוחות ומהוות סיכון לא רק לשרתים שלהם אלא גם למשתמשים שלהם.

שירותי אבטחת מידע לאתרים ב cybersafe:

• מבדקי חדירה PT
• שירותי Siem Soc
• הקשחת שרתים
• שירותי WAF
• תקנות הגנת הפרטיות אבטחת מידע GDPR
• אבטחת מידע בענן

לסיכום,

דאגו לבצע עדכונים שוטפים לגרסאות הוורדפרס ולתוספים ישנים. דברו עם המפתחים של האתר ודאגו לטפל בכל העדכונים השוטפים. בנוסף דאגו לאחסן את האתר בחברה הספקת לא רק שירותי אחסון אלא מנהלת אבטחת מידע על השרתים שלה.