WordPress eklentileri, WordPress’i daha kullanışlı hale getirir, ancak çoğunda, bilgisayar korsanlarının yetkisiz giriş elde etmek veya kötü amaçlı kod eklemek için yararlanmaya çalışabileceği kusurlar bulunur.
Yaygın eklentilerin popülaritesi ve yaygın kullanımı, onları saldırganlar için daha kolay bir hedef haline getiriyor.
Benzer şekilde, düzeltilmeyen güvenlik açıklarına sahip, güncelliğini kaybetmiş veya ihmal edilmiş eklentiler, daha az yetenekli bir tehdit aktörünün bile alabileceği savunmasız giriş noktaları sunma eğilimindedir.
Ücretsiz Web Semineri: Canlı API Saldırı Simülasyonu
Kuruluşların %94’ü üretim API’lerinde güvenlik sorunları yaşıyor ve beşte biri veri ihlali yaşıyor. Sonuç olarak, API’lere yönelik siber saldırıların oranı 2022’de %35’ten 2023’te %46’ya yükseldi ve bu eğilim artmaya devam ediyor:
Temel Çıkarımlar:
- OWASP API Top 10 güvenlik açığından yararlanma
- API’ye kaba kuvvet ATO (Hesap Devralma) saldırısı
- API’ye yönelik bir DDoS saldırısı
- API saldırılarını önlemek için pozitif güvenlik modeli otomasyonu
API’lerinizi bilgisayar korsanlarından korumaya başlayın
Yerinizi Ayırın
Bilgisayar korsanları, kötü amaçlı yazılım dağıtmak, web sitesi tahrifatları gerçekleştirmek veya güvenliği ihlal edilmiş siteleri gelecekteki saldırılar için kullanmak üzere eklentileri manipüle etmek gibi birçok şey yapabilir.
Son zamanlarda WPScan’deki siber güvenlik analistleri, bilgisayar korsanlarının hileli yönetici hesapları oluşturmak için Litespeed eklentisi kusurundan aktif olarak yararlandığını keşfetti.
Bilgisayar Korsanları Litespeed Eklentisindeki Kusurdan Yararlanıyor
Sitenizde ‘wpsupp-user’ yönetici kullanıcısını keşfettiyseniz bu, bu en son kötü amaçlı yazılım kampanyasının web sitenizi etkilediğini gösterir.
Eski LiteSpeed Cache sürümlerindeki güvenlik açıklarından yararlanılarak kritik WordPress dosyalarına veya veritabanına kötü amaçlı kod enjekte edilir.
Aşağıda kodu çözülmüş versiyon yer almaktadır: –
Kötü amaçlı URL’leri ve IP’leri tanımlamak için “https” gibi kötü amaçlı URL’lere dikkat ettiğinizden emin olun.[:]//dns.startservicefounds.com/service/f.php,” “https[:]//api.startservicefounds.com,” “https[:]//cache.cloudswiftcdn.com” ve bu kötü amaçlı yazılım kampanyasıyla ilişkili “45.150.67.235” IP’si.
Kodu çözülen kötü amaçlı JavaScript, genellikle ele geçirilen sitelerde ‘wpsupp-user’ gibi hileli yönetici kullanıcılar oluşturur.
Riskler, savunmasız LiteSpeed eklenti sürümlerine (https) kötü amaçlı bir komut dosyası enjekte edilerek ortaya çıkar.[:]//wpscan.com/vulnerability/dd9054cc-1259-427d-a4ad-1875b7b2b3b4) saldırganlar tarafından istismar ediliyor.
WPScan’in WAF günlükleri, 27 ve 2 Nisan’da bu URL’ye erişimde bazı olağandışı ani artışlar olduğunu gösterdi; bu, 94.102.51.144 (1.232.810 istek) ve 31.43.191.220 (70.472 istek) IP’lerinden güvenlik açığı taraması yapıldığını ve zayıf sitelerin hedeflendiğini gösteriyor olabilir. ve siber saldırılara karşı savunmasız olanlar.
Öneriler
Aşağıda tüm önerilerden bahsettik: –
- Eklentileri denetlediğinizden, güncellediğinizden ve şüpheli eklenti dizinlerini kaldırdığınızdan emin olun.
- “wpsupp-user” ve “wp-configuser” gibi hileli yönetici kullanıcılarını tanımlayın ve kaldırın.
Is Your Network Under Attack? - Read CISO’s Guide to Avoiding the Next Breach - Download Free Guide