WordPress. Orderland
Los sitios web que emplean sistemas de gestión de contenido (CMS) populares como Joomla y WordPress están sujetos a un inyector de código y un script redirector. La nueva amenaza de seguridad aparentemente envía visitantes desprevenidos a sitios web de aspecto auténtico pero altamente maliciosos. Una vez que se ha redirigido con éxito, la amenaza de seguridad intenta enviar código y software infectados a la computadora de destino.
Los analistas de seguridad han descubierto una sorprendente amenaza de seguridad que se dirige a Joomla y WordPress, dos de las plataformas CMS más populares y utilizadas. Millones de sitios web utilizan al menos uno de los CMS para crear, editar y publicar contenido. Los analistas ahora advierten a los propietarios de sitios web de Joomla y WordPress sobre un script de redireccionamiento malicioso que empuja a los visitantes a sitios web maliciosos. Eugene Wozniak, investigador de seguridad de Sucuri, detallado la amenaza de seguridad maliciosa que había descubierto en el sitio web de un cliente.
La amenaza del inyector .htaccess recién descubierta no intenta paralizar al anfitrión o al visitante. En cambio, el sitio web afectado intenta constantemente redirigir el tráfico del sitio web a sitios publicitarios. Si bien esto puede no parecer muy dañino, el script del inyector también intenta instalar software malicioso. La segunda parte del ataque, cuando se combina con sitios web de apariencia legítima, puede afectar gravemente la credibilidad del anfitrión.
Joomla, así como los sitios web de WordPress, utilizan con mucha frecuencia los archivos .htaccess para realizar cambios de configuración a nivel de directorio de un servidor web. No hace falta mencionar que este es un componente bastante crítico del sitio web porque el archivo contiene la configuración principal de la página web del host y sus opciones, que incluyen acceso al sitio web, redireccionamientos de URL, acortamiento de URL y control de acceso.
Según los analistas de seguridad, el código malicioso estaba abusando de la función de redireccionamiento de URL del archivo .htaccess, 'Si bien la mayoría de las aplicaciones web hacen uso de redireccionamientos, estas funciones también las utilizan comúnmente los malos actores para generar impresiones publicitarias y enviar visitantes desprevenidos del sitio a sitios de phishing u otras páginas web maliciosas '.
Lo realmente preocupante es que no está claro exactamente cómo los atacantes obtuvieron acceso a los sitios web de Joomla y WordPress. Si bien la seguridad de estas plataformas es bastante sólida, una vez dentro, los atacantes pueden, con bastante facilidad, colocar el código malicioso en los archivos Index.php del objetivo principal. Los archivos Index.php son críticos ya que son responsables de entregar las páginas web de Joomla y WordPress, como el estilo del contenido y las instrucciones subyacentes especiales. Esencialmente, es el conjunto principal de instrucciones el que indica qué entregar y cómo entregar lo que ofrece el sitio web.
Después de obtener acceso, los atacantes pueden plantar de forma segura los archivos Index.php modificados. A partir de entonces, los atacantes pudieron inyectar las redirecciones maliciosas en los archivos .htaccess. La amenaza del inyector .htaccess ejecuta un código que sigue buscando el archivo .htaccess del sitio web. Después de localizar e inyectar el script de redireccionamiento malicioso, la amenaza profundiza la búsqueda e intenta buscar más archivos y carpetas para atacar.
El método principal para protegerse contra el ataque es deshacerse del uso del archivo .htaccess por completo. De hecho, se eliminó el soporte predeterminado para archivos .htaccess a partir de Apache 2.3.9. Pero varios propietarios de sitios web aún optan por habilitarlo.
