การโจมตีมัลแวร์ที่กำลังเกิดขึ้นต่อเว็บไซต์ WordPress
-
มีรายงานเกี่ยวกับการโจมตีมัลแวร์ต่อเว็บไซต์ WordPress มีชื่อว่า Sign1 เกิดจากการใช้วิธีการทำลายรุ่นของ WordPress และการใช้ประโยชน์จากช่องโหว่ในปลั๊กอินของเว็บไซต์ เมื่อโจมตีได้จะทำให้สามารถเข้าถึงเว็บไซต์ WordPress ได้ และผู้โจมตีจะฝังสคริปต์ที่เป็นอันตรายเข้าไปในวิดเจ็ต HTML ที่กำหนดเองและปลั๊กอินที่ถูกต้อง
มัลแวร์ที่ถูกฝังจะทำการตรวจสอบผู้เยี่ยมชมเป็นมาจากเว็บไซต์ที่เชื่อถือได้ เช่น Google, Facebook และ Instagram เพื่อหลีกเลี่ยงการตรวจจับ จากนั้นมัลแวร์จะสร้างโฆษณาที่เปลี่ยนเส้นทางผู้เยี่ยมชมไปยังเว็บไซต์ที่มีมัลแวร์ได้
สำหรับผู้ใช้งานและผู้ดูแลระบบแนะนำให้เข้าถึงเว็บไซต์ WordPress ผ่านช่องทางที่เชื่อถือได้เพื่อตรวจสอบการเปลี่ยนเส้นทางหรือโฆษณา หากพบความผิดปกติ ผู้ใช้งานและผู้ดูแลระบบควรดำเนินการตามขั้นตอนต่อไปนี้
• ค้นหาและลบ backdoors ใน webroot และไดเรกทอรีอัพโหลด
• ค้นหาและลบตัวเติม backdoor ในไฟล์ธีม
• ตรวจสอบไฟล์ index.php และไฟล์ WordPress คอร์ที่แก้ไขไปแล้ว และสแกนหา JavaScript ที่ถูกเพิ่มเข้าไปในไฟล์และลบลิ้งค์ที่อันตราย
• ลบผู้ดูแลระบบหรือผู้ใช้งานที่ไม่ได้รับอนุญาตที่อาจถูกสร้างขึ้นโดยผู้โจมตีผู้ใช้งานและผู้ดูแลระบบของ WordPress ควรระมัดระวังและนำมาตรการต่อไปนี้เพื่อป้องกันตัวเองจากการโจมตี
• ใช้รหัสผ่าน/รหัสผ่านยาวและแข็งแกร่ง
• เปิดใช้งานการรับรองตัวตนแบบหลายชั้น (MFA)
• บังคับข้อจำกัดการเข้าถึง IP เพื่ออนุญาตให้เข้าสู่ระบบได้เฉพาะจากที่อยู่ IP ที่ได้รับอนุญาตเท่านั้น
• ติดตั้ง CAPTCHA เพื่อลดความเสี่ยงจากบอทที่กำลังพยายามเข้าถึงไซต์ WordPress อัตโนมัติ
• จำกัดการพยายามเข้าสู่ระบบเพื่อลดผลกระทบจากการโจมตีด้วยกำลังคำ
• อัปเดตซอฟต์แวร์ของ WordPress, ปลั๊กอิน และธีมไปยังเวอร์ชันล่าสุดที่มีอยู่ผู้ดูแลระบบยังสามารถพิจารณาการติดตามและบล็อกโดเมนที่เป็นอันตรายต่อไปนี้ที่เกี่ยวข้องกับแคมเปญเพิ่มเติม ได้ที่ https://blog.sucuri.net/2024/03/sign1-malware-analysis-campaign-history-indicators-of-compromise.html
- อ้างอิง
- https://blog.sucuri.net/2024/03/sign1-malware-analysis-campaign-history-indicators-of-compromise.html
- https://www.bleepingcomputer.com/news/security/evasive-sign1-malware-campaign-infects-39-000-wordpress-sites/
- https://securityaffairs.com/160942/hacking/sign1-malware-campaign.html?utm_source=tldrinfosec
สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand