Rapporter om en WordPress-hack påverkar self-hosted WordPress bloggar har dykt upp på Internet i Mars. Hacka verkar påverka WordPress 2.9.2, den senaste versionen av blogging plattform, och kanske även för äldre versioner.
För att göra saken värre, det verkar vara två – möjligen icke-närstående – frågor som webmasters upplever.
En är ett malware attack som sprider skadlig kod på hackad bloggar medan den andra är att använda sig av cloaking teknik för att tjäna en annan version av bloggen för att sökrobotar än att regelbundna besökare och administratörer.
Den cloaking hacka syntes på radar i Mars när bloggare och webbhotell som nämns äventyras webbplatser. Media Temple till exempel anges den 2 Mars att “ett antal platser kund [..] har varit äventyras”.
WordPress Hack
De har identifierat flera mönster angriparna som används, av vilka den ena placeras slumpmässigt-string namn i dokumentet roten av bloggen.
Men Media Temple hosted WordPress bloggar var inte de enda som drabbades av attacken. Rapporter från webmasters värd Godaddy, Nätverk eller VPS.net anges att attacken var inte webbhotell som är specifika.
Spola fram till 6 April. Christopher Penn upptäckte att hans blogg hade äventyrats. Han fick reda på att hacka på sin plats injiceras ett nytt alternativ namn i wp_options bordet och används kodat JavaScript för mörkläggning. Alternativet namn har alltid börjat med rss_.
Ta bort namnet från databasen tabell stannade cloaking frågor var han upplever. Det viktiga var dock att visas igen som tydde på att hans blogg var fortfarande öppen för attack, och att något höll på att köra kod på webbplatsen eller servern för att lägga till poster i databasen igen.
Sårbarheten har själv inte har upptäckt ännu. Chris föreslog att det har antingen varit TimThumb plugin, eller en gammal version av Skata som WordPress fartyg med. Båda har ännu inte bekräftats vara startpunkter.
Det har inget svar ännu från WordPress-utvecklare när det gäller denna fråga.
För att göra saken värre, en andra attack har drabbat WordPress bloggar, denna gång för att sprida skadlig kod. Det är ännu inte klart om de två attentaten är relaterade men det är troligt att de finns.
Frank Gruber publicerat information om att andra angrepp på sin blogg som ironiskt nog tycks ha varit framgångsrikt komprometterade.
Virus på något sätt infiltrerar WordPress och lägger till en ny fil i din katalog som heter skript jquery.js och sedan skär filen i sidhuvudet eller sidfoten filer på din webbplats. Det införs också en iFrame som kräver en 3: e parts webbplats som är känd för skadlig kod eller andra skadliga aktiviteter.
Trend Micro-blogg andelar ytterligare information om virus som sprids med hjälp av denna attack. Attacken “leder till en infektion kedja som leder till olika skadlig kod, inklusive en rogue antivirus[..]”.
För att summera:
- Flera WordPress bloggar som kör den senaste officiella versionen är för närvarande framgångsrikt äventyras.
- Angriparna antingen manipulera blogg för att sprida malware (mer nyligen) eller att dölja länkar som är bara synlig för sökmotorer
- Det är för närvarande oklart hur attackerna utförs.
- Lite information finns tillgänglig om hur att desinficera en blogg
Uppdatering: de senaste versionerna av WordPress har löst frågor. Om du inte har uppdaterats ännu, det är mycket föreslagit att du gör det omedelbart.
WordPress webmasters bör kontrollera sina bloggar omedelbart för att se till att det har inte avslöjats ännu. En wordpress plugin som Antivirus kan också hjälpa till att förebygga ett angrepp.