Saldırılar

WordPress Sitelerde Sahte Adminler Oluşturuluyor

Bir grup hacker, WordPress kullanan siteleri hedef alan ve siteler üzerinde yönetici hesabı açtıkları saldırılar düzenliyor.

Ali
Sa, 03/09/2019 - 01:03
WordPress Sitelerde Sahte Adminler Oluşturuluyor
FacebookTwitter

Siber güvenlik araştırmacılarının tespitlerine göre Temmuz ayında ortaya çıkan bir siber saldırı kampanyası şimdi şekil değiştirdi.

Temmuz ayındaki saldırı kampanyasında hackerlar, bazı WordPress eklentilerini kullanarak istismar ettikleri sitelere zararlı kodlar yerleştirerek ziyaretçileri başka sitelere yönlendiriyordu.

Siber güvenlik firması Defiant'ın tespitlerine göre bu saldırı kampanyası 20 Ağustostan itibaren şekil değiştirmeye başladı.

Şirkete göre saldırıların arkasındaki grup, sitelere yerleştirdikleri zararlı kodu değiştirdi. Değiştirilen kod, ziyaretçileri başka sayfalara yönlendirmek yerine onların sitede yönetici hesabı açma yetkisine sahip olup olmadıklarını kontrol etmeye başladı.

Kod, yetkiye sahip ziyaretçinin siteye giriş yaptığını tespit ettiğinde ise onun üzerinden "wpservices@yandex.com" e-posta adresini ve "w0rdpr3ss" şifresini kullanarak, "wpservices" adında yeni bir yönetici hesabı oluşturdu.

Oluşturulan bu hesap, hackerlar tarafından daha sonra farklı bir zararlı kodu siteye yerleştirmek veya siteden veri toplamak için kullanılıyordu.

Defiant tarafından aşağıdaki eklentilerin hackerların zararlı kod yerleştirmek için kullandıkları, güvenlik zafiyetleri içeren WordPress eklentileri oldukları tespit edildi.

  • Bold Page Builder
  • Blog Designer
  • Live Chat with Facebook Messenger
  • Yuzo Related Posts
  • Visual CSS Style Editor
  • WP Live Chat Support
  • Form Lightbox
  • Hybrid Composer
  • Eski olan tüm NicDark eklentileri

Yukarıdaki eklentilerden birini veya daha fazlasını kullanan WordPress kullanıcılarının bunları güncellemesi ve sitelerindeki yönetici hesaplarını kontrol etmeleri gerekiyor. Eğer yeni bir yönetici hesabının açıldığı tespit edilirse kullanıcıların bunu kaldırması gerekiyor.

Ayrıca saldırıdan etkilenen sitelerin kapsamlı bir güvenlik testinden geçirilmesi tavsiye ediliyor çünkü eklentiler güncellense ve açılan hesaplar kaldırılsa dâhi hackerlar siteye başka zararlı kodlar yerleştirmiş olabilir ve bu, daha başka güvenlik sorunlarına zemin hazırlayabilir.