WordPress constituye actualmente una de las herramientas más usadas en la creación de sitios web gracias a la variedad de opciones que presenta y la facilidad de uso que brinda para llevar a cabo cualquier proyecto en el mundo online.
Sin embargo, al igual que ocurre con todo lo digital, WordPress es también susceptible de ataques por parte de hackers.
En esta ocasión se dio a conocer una nueva campaña SEO maliciosa que afecto a más de 15 mil sitios web hechos en WordPress, con el objetivo de llevar a los usuarios de estas páginas a otras falsas presentando preguntas y respuestas para generar un incremento en el número de visitantes.
Todo esto forma parte de una campaña de redireccionamiento realizada por personas bajo prácticas enmarcadas en el black hat, las cuales hicieron posible comprometer la integridad de miles de páginas web a fin de elevar el rango de sitios web falsos.
Ya desde el mes de septiembre, la empresa de seguridad Sucuri había detectado un aumento en el número de sitios de redirección de malware de WordPress, el cual llegado el mes de octubre se tenía un registro de más de 2500 sitios atacados con éxito.
Hasta el momento Sucuri ha encontrado 14 sitios web falsos, aunque los servidores donde estos se alojan no han podido ser detectados debido a estar ocultos por un proxy.
Cabe mencionar que las preguntas mostradas en los sitios web falsos son obtenidas de otros legítimos, lo cual favorece su posicionamiento y les hace accesibles a más personas.
Añadido a esto, los sitios web falsos pueden ser capaces de propagar malware a los visitantes por medio de modificaciones realizadas a más de 100 archivos infectados, siendo esto algo poco común, puesto que facilita su detección y anulación.
Por otra parte, se determinó que la mayor parte de los archivos infectados pertenecían al núcleo de WordPress, aunque también se observó otra serie de archivos de extensión .php que resultaron ser de los más infectados y que se mencionan a continuación:
- ./wp-signup.php
- ./wp-cron.php
- ./wp-links-opml.php
- ./wp-settings.php
- ./wp-comments-post.php
- ./wp-mail.php
- ./xmlrpc.php
- ./wp-activate.php
- ./wp-trackback.php
- ./wp-blog-header.php
Sumado a esto, Sucuri indicó la presencia de algunos nombres de archivos lanzados por los propios hackers y que los hacían pasar como legítimos, siendo estos los siguientes:
- php
- php
- wp-newslet.php
- wp-ver.php
- wp-logln.php
Hasta el momento no se ha podido determinar la manera específica en que estos hackers de black hat ejecutan su ataque sobre estos sitios WordPress, aunque se tiene la sospecha de que lo hacen a través de un plugin vulnerable o un ataque de fuerza bruta.