Aumento en sitios de WordPress bajo ataque

Últimamente muchos sitios de WordPress se han enfrentado a diversas amenazas cibernéticas. Tanto por adquisiciones de sitios como por vulnerabilidades de complementos.

La semana pasada, unos 300 sitios de WordPress fueron testigos de una ola de ataques, mostrando avisos de cifrado falsos y pidiendo un rescate de 0.1 Bitcoin. En tanto, estas demandas de rescate inducen una sensación de urgencia y pánico al acompañar un temporizador de cuenta regresiva. Lo que parecería un ataque de ransomware común.

Pero no, los investigadores descubrieron que los sitios web no estaban encriptados. Los actores de amenazas simplemente alteraron un complemento instalado llamado Directorist, para mostrar una nota de rescate y una cuenta regresiva. Por lo tanto, este es un ataque de ransomware falso.

Esto importa más que nada porque WordPress es uno de los sistemas de gestión de contenido (CMS) más reconocidos que existen. Sin embargo, esto implica que es un objetivo principal para los actores de amenazas que buscan infectar sitios web.

Los actores maliciosos iniciaron sesión como administradores en los sitios, a través de credenciales robadas o de fuerza bruta compradas en la Dark Web. Estos ataques no son aislados, más bien parecen ser parte de una campaña más grande, lo que significa que pueden haber comprado credenciales en mercados oscuros.

Otros casos relacionados con WP

Hace un tiempo se descubrió que un usuario autenticado podría abusar de una falla de seguridad crítica en WP Reset Pro, un complemento de WordPress, para eliminar la base de datos completa de un sitio web.

También se descubrió que las vulnerabilidades en OptinMonster, un complemento de WordPress de marketing por correo electrónico, expusieron a más de un millón de sitios web a la explotación. Las fallas, si no se corrigen, podrían permitir a un usuario no autenticado exfiltrar información confidencial e implementar JavaScript malicioso en sitios vulnerables de WordPress.

Y en octubre, se encontró un error de alta gravedad en el complemento de WordPress Hashthemes Demo Importer, que podría permitir a los atacantes restablecer y borrar los sitios vulnerables.