Os usuários do WordPress estão enfrentando outra preocupação com a segurança após a descoberta de uma enorme rede de bots (botnet). Invasores infectaram 20.000 sites do WordPress com nomes de usuário e senhas de administrador por meio de força bruta. Eles estão usando esses sites para infectar ainda mais instalações do WordPress.

A botnet, que a empresa de segurança Wordfound Wordfence descobriu na semana passada, infecta sites usando um recurso conhecido como XML-RPC. Essa é uma interface que permite que uma parte do software faça solicitações para outra enviando-lhe chamadas de procedimento remoto (RPCs) escritas na linguagem de marcação extensível (XML).

Programas legítimos de blogs usam esse recurso para enviar conteúdo do blog para sites do WordPress para formatar e publicar. Os invasores também podem usá-lo para tentar várias senhas e manipular um site se tiverem acesso.

Os atacantes escreveram um script que lançaria um ataque de força bruta baseado em XML-RPC, gerando automaticamente uma série de nomes de usuários e senhas, na esperança de que um deles funcionasse e desse acesso a uma conta privilegiada. Nesse ponto, eles podem usar essa conta para infectar o site com o software do botnet.

O mecanismo de criação de senha leva listas de nomes de usuários junto com listas de senhas comuns e usa algoritmos simples para criar novas combinações de senhas dos nomes de usuários. Como tentar o nome de usuário “alice” com senhas como alice123, alice2018 e assim por diante. Pode não ser muito eficaz em um único site, mas quando usado em muitos sites, as chances de sucesso dos invasores aumentam, diz a Wordfence.

Como qualquer botnet, os sites infectados recebem instruções dos criadores do bot por meio de um servidor de comando e controle (C2). Neste caso, no entanto, a infraestrutura C2 é relativamente sofisticada. Os invasores enviam suas instruções para sites infectados de um dos quatro servidores C2 que se comunicam por meio de servidores proxy, escolhidos em uma grande lista russa. Três dos servidores C2 são hospedados pela HostSailor, que o jornalista de segurança cibernética Brian Krebs relatou no passado.

Enquanto os servidores C2 apresentavam uma tela de login, o Wordfence descobriu que eles não precisavam, de fato, de autenticação e era capaz de ver detalhes das máquinas escravas infectadas, junto com as listas de proxy usadas para acessá-los.

Como os proprietários de sites podem se proteger desse tipo de ataque de força bruta? Empresas como a Wordfence usam técnicas de força bruta para restringir o número de tentativas de login e bloquear invasores completamente após muitas senhas incorretas.

Os invasores podem tentar contornar essas técnicas ao alternar proxies e / ou strings do agente do usuário com cada solicitação, mas esses produtos também podem impedi-los, bloqueando o acesso de fontes maliciosas ou infectadas conhecidas usando listas negras em tempo real.

Essas são ótimas camadas extras de segurança, mas uma maneira mais simples e eficiente de impedir que alguém force sua conta com força máxima é usar uma senha forte e mantê-la segura em um gerenciador de senhas. Usar um nome de usuário estranho que você não encontrará em uma lista regular de nomes também não atrapalha. Isso torna as credenciais do usuário quase impossíveis de adivinhar. Complemente isso com a autenticação de vários fatores, de preferência usando um aplicativo de autenticação móvel dedicado em vez de uma autorização de SMS, para proteção extra.

Outra medida de segurança eficaz é restringir o acesso da conta administrativa a endereços IP específicos ou a clientes com certificados digitais específicos. Também é uma boa prática manter sua instalação do WordPress o mais atualizada possível.

No momento, os atacantes parecem estar no modo de construção de botnets, fazendo pouco mais do que aumentar o número de sites do WordPress sob seu controle. O que eles farão com esses sites infectados? É difícil dizer, mas uma pesquisa passada da Wordfence sugere que enviar spam, hospedar páginas de phishing e lançar redirecionamentos mal-intencionados estão entre os ataques mais populares do WordPress.

Se você tiver um site WordPress, valeria a pena verificar seus registros de auditoria em busca de atividades suspeitas, verificar a segurança da sua senha e ativar a autenticação multifator (MFA ou 2FA).