دسترسی به وبسایتهای وردپرس از طریق سوءاستفاده از آسیبپذیریهای پلاگینهای مختلفی همچون Simple Fields و CP Contact Form با PayPal حاصل میشود.
به گزارش مهر اوج این فعالیتهای مخرب در هفته سوم ماه ژانویه سال ۲۰۲۰ روی داده است.
پس از ورود به سایت وردپرس، ابتدا جاوااسکریپت، بازدیدکننده را به ۴ وبسایت مخرب gotosecond۲[.]com، adsformarket[.]com، admarketlocation[.]com و admarketlocation[.]com هدایت میکند.
سپس لینک statistic[.]admarketlocation[.]com/clockwork?&se_referrer= یا track[.]admarketresearch[.]xyz/?track&se_referrer= در سایت WordPress بارگذاری میشود تا خرابکاری نهایی جاوااسکریپت مخرب را ارائه دهد.
این اقدام آخر بسیار مشکلساز است، زیرا به مهاجم اجازه میدهد تغییرات بیشتری در سایت ایجاد کند یا بدافزار بیشتری همچون دربپشتیهای PHP و ابزار هک را جهت کمک به حفظ پایداریشان وارد کند.
همچنین مشاهده شده است که مهاجمان از ویژگیهای /wp-admin/ برای ساخت دایرکتورهای جعلی پلاگین که شامل بدافزار بیشتری است سوءاستفاده میکنند.
رایجترین دایرکتورهای جعلی پلاگین که توسط محققان کشف شدهاند عبارت از /wp-content/plugins/supersociall//supersociall.php و wp-content/plugins/blockspluginn/blockspluginn.php می شود.
مرکز ماهر به صاحبان وبسایتها توصیه کرده که تغییر پوشههای اصلی را غیرفعال سازند؛ این امر مانع از درج فایلهای مخرب توسط هکرها میشود، یا بخشی از سختافزاریکردن امنیت وردپرس و بهترین روش امنیتی را به کار گیرند.