Los piratas informáticos atacan los sitios web de WordPress para robar las credenciales de la base de datos

Atacar a los usuarios de WordPress siempre es algo, ya que la base de usuarios es enorme. De ese modo, Wordfence, un firewall de aplicaciones web informó que una nueva campaña de ataque está dirigida a varios sitios de WordPress para robar archivos de configuración que tienen credenciales de base de datos del sitio. Esto se puede usar más tarde para varios privilegios de administrador, como crear puertas traseras, hacer nuevos administradores o incluso eliminar todo el sitio. Se aconseja a los usuarios que actualicen sus contraseñas de inmediato.

El mismo actor del pasado

Los piratas informáticos atacan los sitios web de WordPress para robar las credenciales de la base de datos
Los piratas informáticos atacan los sitios web de WordPress para robar las credenciales de la base de datos

Explotar cualquier vulnerabilidad relacionada con WordPress puede hacer algo grande. Y como el hecho es ampliamente aceptado, un grupo que previamente exploró Vulnerabilidad de secuencias de comandos cruzadas XSS en WordPress no tiene vulnerabilidades antiguas dirigidas a complementos sin parches y descarga archivos de configuración de sitios web.

Esto, a su vez, roba las credenciales de inicio de sesión de la base de datos del sitio web. Wordfence informa que esta campaña tuvo lugar el pasado fin de semana, entre el 29 y el 31 de mayo, donde el 30 de mayo tuvo un aumento en los ataques. Afirma haber bloqueado más de 130 millones de ataques contra 1,3 millones de sitios web y dice que hay más ataques no denunciados que podrían haber ocurrido.

Además, obliga al autor detrás de él a ser el mismo que se aprovechó de la vulnerabilidad de secuencias de comandos cruzadas anteriormente, ya que la mayoría de las direcciones IP en esta campaña son las mismas que en la primera campaña. Y aquí, robar credenciales puede dar al atacante acceso a la base de datos del sitio web, donde puede agregar / eliminar usuarios y manipular el contenido.

Verificación y protección

Wordfence también ha descrito indicadores de redacción, donde un usuario potencial que cree que está siendo atacado puede mirar los registros de su servidor. Y si encuentra alguna entrada de registro que contenga wp-config.php en la cadena de consulta que devolvió un código de respuesta de 200, ya está todo listo. Es recomendable cambiar la contraseña de la base de datos y las claves de autenticación únicas de inmediato.

Fuente: Wordfence