揭秘攻击者针对WordPress站点使用的攻击技术及防护建议( 二 ) _WordPress

文章插图

被攻击者的WordPress也可以作为重定向到广告页面的网站，可以通过修改主题的JAVAScript文件或页眉/页脚生成器功能（例如：wp-contentthemestwentyseventeenfunctions.php）来实现。经过修改后的JavaScript可以将用户重定向到攻击者指定的网站。
经过混淆后的JavaScript重定向：

文章插图

重定向后指向的网页：

文章插图

在被攻击的WordPress网站中实现搜索引擎优化（SEO）投毒攻击者利用被攻击的WordPress网站做的另一类行为是搜索引擎优化（SEO）。我们发现，已经部署的PHP脚本会在GET请求中接收关键字。
WordPress“搜索引擎”：

文章插图

脚本首先检查User-Agent是否与以下正则表达式中的其中一条相匹配，并检查$_SERVER[“REMOTE_ADDR”]（发出HTTP请求的参与者的IP地址）的反向DNS查询是否包含google子字符串。如果发现，则将$isbot变量设置为1 。
部署脚本的片段：

文章插图

如果$isbot不为0，则使用相同的关键字，对硬编码的URL地址发出另一个HTTP请求。
部署脚本的片段：

文章插图

如果返回的文本长度小于1000个字符，则使用必应（Bing）搜索引擎执行其它查询，并将与特定正则表达式匹配的结果附加到$text后面。
攻击者使用的文本：

文章插图

如果再次执行相同的查询，就会返回最终的html页面，并将其保存在服务器上。
最终页面：

文章插图

如果未设置$isbot，并且HTTP_REFERER包含类似于Google、Bing或Yahoo的字符串，则将其重定向到另外一个网站。
部署脚本的片段：

文章插图

发表虚假或误导性文章遭到入侵的WordPress网站也可能会被用于发布虚假或误导性文章，其中的内容往往很少，或者没有真实的细节。取而代之的是，攻击者往往会使用引人注目的标题，并编造吸引人注意的故事。
在遭到入侵的站点上发布的故事示例：

文章插图

从以上示例可以看出，被攻击的站点发布了带有明显语法错误或煽情报导的故事。通常，这些文章的内容难以被理解。攻击过程是通过WordPress的XML-RPC应用程序编程接口（API）来实现的，该接口可以传输数据并执行多项任务，例如上传新文件、编辑和发布帖子。
POST /xmlrpc.php和metaWeblog.newPost（左侧）以及帖文内容（右侧）示例：

文章插图

攻击者可以使用POST /xmlrpc.php和metaWeblog.newPost，这允许将博客内容直接（甚至远程）发布到WordPress网站。
针对WordPress站点的安全建议上面提到的示例，只是目前已知攻击者会使用的一些技术。实际上，如果没有保证良好的安全性，易受攻击的WordPress站点很容易遭到攻击者的滥用。为了降低被攻击的风险，我们建议用户使用双因素认证（2FA）插件来防止凭据滥用，同时建议扫描未修复的漏洞。用户和网站管理员可以采用以下防护措施：
1、部署基本的安全防御措施，以减少网站的攻击面；
2、禁用或删除过时的或易受攻击的插件；
3、使用虚拟补丁程序来修复补丁不可用的漏洞，特别是针对需保障业务连续性的系统更要关注这一点；
4、应用权限最小化原则；
5、定期将CMS更新到最新版本，包括CMS中使用的插件。

【揭秘攻击者针对WordPress站点使用的攻击技术及防护建议】