NOTÍCIAS

[ANONYMOUS][grids]

WPSetup Attack Targets Fresh Installations of WordPress


Os desenvolvedores de sites geralmente podem deixar instalações inacabadas do WordPress em seus servidores. Isso pode tornar muito fácil para os atacantes obter controle sobre novas instalações do WordPress. Os atacantes não só podem assumir o site do WordPress, mas também todo o cluster de hospedagem que está associado a ele. Isso é conhecido como WPSetup Attack. O ataque do WPSetup visa novas instalações do WordPress. Isso permite que os ataques obtenham acesso de administrador e execute código PHP malicioso no servidor da web da vítima .

Como o WPSetup Attack funciona

Há várias maneiras como você pode instalar o WordPress. Você pode descompactar o arquivo ZIP em um diretório e enviá-lo para sua conta de hospedagem via FTP, muitos provedores de hospedagem irão oferecer a opção de instalar vários aplicativos da Web e, muitas vezes, fornecerá uma instalação com um clique para facilitar a instalação do consumidor aplicativos da Web diretamente da plataforma de contas de hospedagem.
Neste ponto, mesmo que os arquivos baseados em WordPress estejam instalados, ainda não há nenhum arquivo de configuração, pois ele ainda precisa ser criado. Novas versões do WordPress muitas vezes o acompanharão ao criar este arquivo.
Se as novas etapas das instalações do WordPress não forem imediatamente concluídas, um invasor que esteja procurando por novas instalações do WordPress poderá usar seus novos arquivos de instalação do WordPress para comprometer o seu site e ter o controle total sobre os bancos de dados hospedados em hospedagens web de sites-alvo.

Como um invasor usando WPSetup Attack ganha controle total de sua conta de hospedagem

Uma vez que um atacante tenha terminado de criar a conta de administrador usando a instalação inacabada do WordPress que está sendo executada na conta de hospedagem das vítimas, eles podem então executar o código PHP mal-intencionado e instalar vários kits de raiz para obter controle total sobre o cluster do servidor principal no qual o site de destino está hospedado. Os ataques também podem integrar conta-gotas de arquivos, Keyloggers, os invasores podem até injetar propagandas de terceiros no site das vítimas.

Como os atacantes executam o código PHP

Os atacantes usarão vários métodos de execução de código PHP mal-intencionado no servidor web alvo que esses métodos incluem. Editando o código de temas e plug-ins a partir da interface administrativa do WordPress com código PHP mal-intencionado, isso permitirá que os ataques comprometam o site de destino e executem o código PHP para visitantes do site quando o site alvo é atualizado.
Se um invasor obteve acesso administrativo a um site do WordPress, eles podem carregar e instalar o plugin contendo qualquer código PHP. Ao incorporar o código PHP em um plugin padrão do WordPress ou criando plug-ins personalizados do WordPress, os invasores podem executar qualquer código PHP no servidor da Web de destino apenas ativando o plug-in. Os atacantes também podem enganar sites de terceiros para executar o mesmo plug-in mal-intencionado do WordPress.

Como os atacantes acham instalações inacabadas do WordPress.

Este é o URL de configuração que as novas instalações do WordPress usam durante o processo de instalação. Essas páginas podem ser encontradas por qualquer pessoa que use Dorks do Search Engine amplamente disponíveis, esses sites contém uma página de configuração, isso indica que o WordPress foi instalado recentemente no servidor da Web em questão. No entanto, ainda não foi completamente configurado. Isso pode tornar muito fácil para os atacantes obter controle sobre as novas instalações do WordPress, mas também a conta de hospedagem inteira que está associada a ele.
Google Dork Descrição : inurl: "/ wp-admin / setup-config.php" intitle: "Setup Configuration File"
Dork: inurl: "/ wp-admin / setup-config.php" intitle: "Setup Configuration File"

Prevenção de ataque WPSetup

Antes de instalar uma nova instalação do WordPress, crie um arquivo .htaccess no diretório principal de hospedagem na web. Edite o arquivo .htaccess para que ele contenha o seguinte:
ordenar negar, permitir
negar de todos
permitir de <seu ip>
Substitua o '<seu ip>' por seu próprio endereço IP.
Isso estabelecerá regras que garantirão que somente os endereços IP listados em branco possam acessar o site do WordPress enquanto estiverem sendo instalados. Isso evitará que os atacantes ou pessoas que passem a tropeçar no site do WordPress durante a instalação completando as etapas de configuração e comprometendo o cluster de hospedagem de sites do WordPress.
Uma vez que a instalação do WordPress esteja completa, você pode remover a regra .htaccess e permitir que visitantes de todo o mundo acessem seu site WordPress.