Yeni bir siber saldırı dalgası, site devralmasına yol açabilecek kötü amaçlı SEO eklentileri aracılığıyla WordPress web sitelerini hedefliyor.
Güvenlik analistleri, saldırganların meşru site bileşenleriyle sorunsuz bir şekilde karışmak için eklentilerini gizledikleri ve algılamayı yöneticiler için son derece zorlaştıran sofistike kötü amaçlı yazılım kampanyalarını ortaya çıkardılar.
Özellikle sinsi bir taktik, enfekte olmanın kendisinden sonra kötü niyetli eklentinin adlandırılmasını içerir.
Örneğin, bir site örnek.com olarak adlandırılırsa, eklenti klasörü ve dosyası örnek-com/example-com.php olarak adlandırılabilir.
wp-content/plugins/exampledomain-com/exampledomain-com.phpBu adlandırma sözleşmesi, kötü amaçlı yazılımın özel veya siteye özgü bir eklenti olarak maskelenmesini sağlar ve hem manuel incelemelerden hem de otomatik güvenlik taramalarından kolayca kaçar.
Saldırı nasıl çalışır
Kurulduktan sonra, bu eklentiler belirli koşullar karşılanana kadar uykuda kalır – özellikle bir arama motoru tarayıcısı siteyi ziyaret ettiğinde.
Bu noktada, eklenti, farmasötik reklamlar gibi spam içeriğini sitenin sayfalarına enjekte eder.
Düzenli ziyaretçiler alışılmadık bir şey görmez, ancak arama motorları enjekte edilen spam endeksliyor, saldırganın SEO sıralamasını artırıyor ve tehlikeye atılan sitenin itibarına zarar veriyor.
Kötü niyetli kod, gerçek amacını gizlemek için binlerce değişken ve karmaşık birleştirme kullanılarak yoğun bir şekilde gizlenmiştir.
Saldırganlar, daha sonra birleştirilen ve yürütülen kodlar boyunca mektupları, sayıları ve sembolleri dağıtıyor.
Bu gizleme, otomatik araçların ve hatta deneyimli geliştiricilerin tehdidi tanımlamasını zorlaştırıyor.
- Eklenti Konumu: Kötü amaçlı yazılım genellikle eklentiler dizininde bulunur, bir klasör ve dosya adı sitenin etki alanını taklit eder.
- Gizli: Kod, sahte bir WordPress eklentisi başlığı ve binlerce değişken atama içerir, bu da meşru görünmesini sağlar.
- Koşullu Aktivasyon: Eklenti yalnızca arama motoru botları için etkinleştirilir ve normal kullanıcıların ve çoğu güvenlik taramasının varlığını algılamamasını sağlar.
- Uzaktan kumanda: Kod, etkinliğini daha da gizlemek için kodlanmış verileri kullanarak harici bir kaynaktan talimatlar veya spam içeriği getirebilir.
SEO Spam’ın ötesinde, bazı kötü amaçlı eklentiler saldırganların yöneticisi erişim sağlar, yeni yönetici hesapları oluşturmalarına, ek kötü amaçlı yazılımlar enjekte etmelerini ve hatta web sitesinin tam kontrolünü almalarını sağlar.
Bu, çıkarılması zor olan veri ihlallerine, bozulmaya ve kalıcı arka kapılara yol açabilir.
Azaltma stratejileri
WordPress sitenizi bu tehditlerden korumak için:
- Tüm eklentileri, temaları ve çekirdek yazılımları güncel tutun.
- Saygın güvenlik araçlarını kullanarak kötü amaçlı yazılım ve backdoors için düzenli olarak tarayın.
- FTP, veritabanı ve yönetici kullanıcıları dahil olmak üzere tüm hesaplar için güçlü, benzersiz şifreleri uygulayın.
- Olağandışı etkinlik için sunucu günlüklerini izleyin ve dosya bütünlüğü izlemeyi göz önünde bulundurun.
- Kötü niyetli botları engellemek ve kaba kuvvet saldırılarını önlemek için bir web uygulaması güvenlik duvarı dağıtın.
Sitenizin tehlikeye atıldığından şüpheleniyorsanız, enfeksiyonu temizlemek ve sitenizin bütünlüğünü geri kazanmak için hemen profesyonel yardım isteyin.
Saldırganların gelişen taktikleri, uyanıklık ve proaktif güvenlik anlamına geliyor, WordPress site sahipleri için her zamankinden daha önemli.
Özel Web Semineri Uyarısı: Gelişmiş API Güvenliği İçin Intel® İşlemci Yeniliklerini Koşullandırma – Ücretsiz Kayıt