Около 2000 сайтов на движке WordPress снова подверглись атаке хакеров

Исследователи охранной фирмы Sucuri недавно обнаружили, что хакеры взломали около 2000 веб-сайтов на WordPress, чтобы украсть учетные данные налогоплательщиков для майнинга криптовалют.

WordPress - одна из самых популярных систем управления контентом (CMS), обеспечивающая работу более 25 процентов веб-сайтов в Интернете, и это означает, что огромное количество сайтов может оказаться под угрозой.

Что нам известно об атаках

Согласно заявлению Sucuri, хакеры заражают все JavaScript-файлы на хостинге, внедряя в них зашифрованный вредоносный код. Если несколько сайтов размещаются на хостинге под одним аккаунтом WordPress, заражены окажутся они все; данная техника носит название cross-site contamination.

Пользователю достаточно зайти на сайт со встроенным майнером. Тогда, используя вычислительную мощность компьютера, процессор будет генерировать криптовалюту для мошенников.

Используя этот метод, злоумышленники смогли заразить страницы целевых сайтов с помощью кейлоггера, вредоносного ПО, фиксирующего какие символы были набраны пользователем. Эта информация поступает на сервер злоумышленников, что позволяет хакерам украсть все данные, введенные в контактных формах веб-сайта, включая учетные данные администратора и других пользователей.

Хакеры отдельно заразили интерфейс WordPress с помощью CoinHive, который предлагает владельцам сайтов конвертировать мощности CPU посетителей в криптовалюту Monero. Если ваш сайт заражен, посетители почувствуют внезапное замедление работы своих компьютеров и смартфонов. Также криптовалютный майнинг быстро садит батареи гаджетов.

Кто пострадал?

Sucuri не рассказали, как злоумышленникам удалось заразить сайты. Но такие атаки обычно происходят на сайты, работающие на старых версиях WordPress (текущая версия - 4.9.2) или содержащие небезопасные плагины. На официальном сайте WordPress размещено более 50 000 плагинов, а тысячи других могут быть приобретены из сторонних источников. Эти плагины, в основном, очень уязвимы.

В декабре 2017 года Sucuri зафиксировала аналогичную атаку которая затронула более 5500 веб-сайтов. Домен, который был заражён, уже давно отключен. Однако, как отмечают исследователи из Sucuri, по-прежнему существует множество сайтов, которые не смогли надлежащим образом защитить себя после первоначального инфицирования. Будущие атаки могут заразить еще больше веб-сайтов.

Как защитить себя

Для начала убедитесь, что Вы используете последнюю версию движка и плагинов. Веб-сайты, размещенные на WordPress.com, автоматически обновляются. Если Вы используете другой хостинг, WordPress предупредит вас о том, что доступна новая версия.

Обновления защитят Вас от будущих атак. Чтобы ваша версия WordPress не была заражена, Вы должны сканировать основные файлы и таблицы базы данных на подозрительные модификации и возвращать их к исходной версии.

Также Вы можете установить расширение для браузера NoCoin, которое предотвратит незаконное использование ресурсов Вашего процессора.