Rastreamos vários tipos de ataques de uma grande variedade de fontes todos os dias. A partir desses dados, criamos uma lista dos piores piores invasores e adicionamos esses na nossa lista negra de IP para proteger nossos clientes de nossos servidores. Também monitoramos cuidadosamente a atividade na qual os conhecidos IPs incorretos se envolvem.
Em maio e junho, vimos o nosso pior dos piores IPs começar a usar um novo tipo de ataque visando novas instalações do WordPress. Nós também tivemos nosso primeiro cliente em setup foi atingido por este ataque antes da finalização.
Os atacantes procuram o seguinte URL:
/wp-admin/setup-config.php
Este é o URL de configuração que as novas instalações do WordPress usam. Se o invasor encontrar esse URL e ele contém uma página de configuração, isso indica que alguém instalou recentemente o WordPress em seu servidor, mas ainda não o configurou. Neste ponto, é muito fácil para um invasor assumir não apenas o novo site do WordPress, mas a conta de hospedagem inteira e todos os outros sites daquela conta de hospedagem que contenha a vulnerabilidade.
O gráfico abaixo mostra a campanha que rastreamos e o número de varreduras por dia para /wp-admin/setup-config.php que vimos de vários IPs conhecidos
Como funciona o ataque WPSetup
Existem várias maneiras de instalar o WordPress. Você pode simplesmente descompactar o arquivo ZIP em um diretório em sua conta de hospedagem, ou muitos provedores de hospedagem fornecem uma instalação com um clique que faz a mesma coisa.
Nesta fase, mesmo que você tenha os arquivos baseados em WordPress instalados, ainda não há arquivo de configuração, portanto, ele precisa ser criado. Você costumava fazer isso manualmente, mas as novas versões do WordPress o orientam através da criação deste arquivo usando uma interface web.
Se você descompactar o WordPress ou usar um instalador de um clique e não concluir imediatamente as etapas de instalação, um invasor que está pesquisando novas instalações em seu servidor pode usar sua nova instalação para assumir o controle de seu site.
Passemos pelas etapas para entender como o atacante assume o controle de seu site uma vez que localizou sua nova instalação do WordPress. O primeiro passo é selecionar seu idioma:
Então você vê uma mensagem introdutória:
E, finalmente, você permite que o WordPress conheça seu nome de banco de dados, nome de usuário, senha e em que servidor ele vive.
Se um invasor encontrar sua nova instalação, eles podem clicar facilmente nas duas primeiras etapas e, em seguida, inserir suas próprias informações sobre o servidor de banco de dados nesta etapa final. Seu banco de dados pode estar em seu próprio servidor e não precisa conter nenhum dado – ele pode simplesmente ser um banco de dados vazio. Eles só precisam obter uma instalação do WordPress em funcionamento em execução no seu site que eles tenham acesso de administrador.
Uma vez que este passo está completo, o WordPress confirma que pode se comunicar com o banco de dados – neste caso, o banco de dados do invasor:
Uma vez que o atacante clica em “Executar a instalação”, eles são solicitados a inserir informações para criar a primeira conta no nÃvel de administrador.
Eles inserem suas próprias informações de conta, clicam no botão Instalar e recebem uma confirmação de que o WordPress foi instalado e a conta de administrador foi criada.
O atacante então reescreva as credenciais de administrador que criaram no processo de configuração …
… e está conectado a uma nova instalação do WordPress em seu servidor usando seu próprio banco de dados.
Como o WPSetup Attack Obtém o Controle Total de sua Conta de Hospedagem
Uma vez que um invasor tenha acesso de administrador a um site WordPress em execução em sua conta de hospedagem, eles podem executar qualquer código PHP que desejam na sua conta de hospedagem. Existem várias maneiras de fazê-lo.
Executando PHP Usando o Editor de Tema ou Plug-in
WordPress oferece a capacidade de editar o código de temas e plugins dentro da interface administrativa. Para executar seu próprio código, um invasor simplesmente lança o editor de tema ou plug-in e insere seu próprio código PHP. A próxima vez que uma página for atualizada, seu código será executado.
Executando PHP usando um complemento personalizado
Uma vez que um invasor tenha acesso de administrador a um site do WordPress, eles podem carregar qualquer plugin com qualquer código PHP, incluindo seu próprio plugin personalizado. Para executar o seu código, eles passam alguns minutos criando um plugin básico do WordPress e depois carregá-lo no site e ativá-lo.
O que um atacante faz uma vez que eles podem executar o código PHP
Uma vez que um invasor pode executar o código em seu site, eles podem executar uma variedade de ações mal-intencionadas. Uma das ações mais comuns que eles tomarão é instalar um shell malicioso em um diretório na sua conta de hospedagem. Nesse ponto, eles podem acessar todos os arquivos e sites nessa conta. Eles também podem acessar qualquer banco de dados que qualquer instalação do WordPress tenha acesso, e pode acessar outros dados do aplicativo.
Como se proteger contra o ataque WPSetup
Este ataque está ganhando popularidade. Para evitar cair vÃtima, fornecemos dois procedimentos que você pode usar abaixo:
Procedimento 1: a maneira segura de instalar o WordPress
Antes de instalar uma nova instalação do WordPress, crie um arquivo .htaccess na base do seu diretório da web contendo o seguinte:
order deny,allow deny from all allow from <seu ip aqui>
Substitua o ‘<seu ip>’ por seu próprio endereço IP. Você pode descobrir isso visitando um site como: meuip.com.br.
Esta regra garante que apenas você pode acessar o seu site enquanto você está instalando o WordPress. Isso impedirá que outras pessoas se encaminhem, completando sua instalação e assumindo o controle de sua conta de hospedagem ao carregar o código malicioso.
Uma vez concluÃdo, você pode remover a regra .htaccess e permitir que o resto do mundo acesse seu site.
Procedimento 2: The Risky Way para instalar o WordPress
Este procedimento é arriscado porque, se um invasor é rápido o suficiente, eles ainda podem assumir o controle de seu site. Nós não recomendamos isso, mas incluÃ-lo para completar.
Em vez de criar a regra .htaccess acima, você pode usar o método de instalação padrão do WordPress. Para reduzir o risco de ser atacado, você precisa diminuir o tempo entre a instalação dos arquivos do WordPress e a instalação final, tanto quanto possÃvel.
- Instale seus arquivos do WordPress descompactando-os ou fazendo uma instalação com um clique.
- Acesse seu site imediatamente e complete as etapas de instalação rapidamente (embora com precisão) conforme possÃvel.
- Uma vez que seu site está funcionando, um invasor não pode mais executar a instalação e seu site não é mais vulnerável.
Recomendações para administradores de servidores e provedores de hospedagem
Se você operar um servidor ou uma rede de servidores que oferecem hospedagem do WordPress aos clientes, recomendamos o seguinte para mitigar esse ataque:
Digitalize suas contas de hospedagem para instalações do WordPress que não possuem wp-config.php. Estas podem ser instalações novas que ainda não foram concluÃdas. Se navegar para o URL base do site redireciona você para /wp-admin/setup-config.php, então você confirmou que a instalação está incompleta. Sugerimos que você informe seu cliente que deve completar a instalação ou remover os arquivos.
Se você tiver um IDS (sistema de detecção de intrusão), você deve considerar monitorar o tráfego de seus servidores web para a Internet aberta para qualquer tráfego MySQL. Isso pode indicar que um invasor configurou um site WordPress na sua rede usando seu próprio banco de dados na Internet.
Se você possui outros mecanismos para monitorar ou impedir conexões de seus servidores web com bancos de dados arbitrários na Internet aberta, recomendamos que você use aqueles para mitigar esse ataque.
Conselhos finais e seus pensamentos
Eu recomendo que você tome o passo adicional de auditar sua própria conta de hospedagem para se certificar de que você não deixou acidentalmente nenhuma instalação de WordPress desconfigurada ao redor. remover. leia-me.txt, arquivos de html padrão de instalalações, wp-config.exemplo.php etc..
Plugins excelente para bloquear ataques São eles:
01 – Wordfence ) Anti-Ataque e Firewall para WordPress
02 – Disable-xml-rpc – proteção de injeções
03 – Rename-wp-login – Troca o nome do login padrão wp-login.php
Se você não quer fazer isso sozinho, considere o nosso serviço de auditoria do site WordPress com nossos especialistas , que fornece uma auditoria abrangente de segurança do site e incluirá um cheque para instalações incompletas.
Como sempre, agradeço seus comentários nos comentários abaixo. Se você tiver idéias adicionais para ajudar a mitigar esse ataque ou para ajudar o WordPress a melhorar o processo de configuração para evitar esse ataque, eu adoraria ouvi-los.
PS: Compartilhe isso com a comunidade para criar consciência dos riscos de instalações não configuradas do WordPress.
Gostou deste post? Compartilhe!
