A WordPress sokak kedvence, hiszen segítségével akár nulla vagy minimális programozói és webdizájn tudás mellett is könnyen lehet létrehozni mutatós, sokfunkciós weboldalakat. Pont a platform népszerűsége az oka viszont annak, hogy sokan támadják is, hiszen egy sikeres akció nyomán tömegével eshetnek áldozatul a hasonló alapokra épített weboldalak. Most ismét WordPress oldalakat támad egy új kiberbűnözőkből álló új csapat, és a sikeres betörést követően rejtett webáruházakat nyit rajtuk, amelyek lerontják az eredeti weboldal keresési rangsorát és tartalmi megítélését. A támadásokat az Akamai biztonsági csapata szúrta ki egy sikeresen megtámadott és átalakított oldalon.
A hackerek a példaként szolgáló esetben teljes kipróbálásos módszerrel szerezték meg a rendszergazda jelszavát, majd egy rosszindulatú kóddal egészítették ki a hely indexfájlját. Ennek a kártékony kódnak az elsőrendű feladata az, hogy proxyként működjön, és minden bejövő forgalmat egy távoli command-and-control (C&C) szerverre irányítson át, amit a hackerek kezelnek.
Ha ezek után valaki meglátogat egy ilyen meghekkelt WordPress helyet, azt a módosított oldal észrevétlenül átirányítja a vírus által megjelölt C&C szerverre. Amennyiben a felhasználó megfelel bizonyos feltételeknek, a C&C szerver utasítja a helyet, hogy egy olyan HTML fájllal válaszoljon, ami különböző silány árucikkeket jelenít meg, vagyis a meghekkelt hely egy hamis webshop kínálatával felel az eredeti bolté helyett. A hackerek ezenkívül olyan XML oldaltérképet is generálnak a meghekkelt WordPress helyekhez, amelyek a hamis online bolt bejegyzéseit tartalmazzák az eredetiével keverve, és ezeket kínálják fel a Google keresőmotorjának.
Az eljárás eredményeként a WorldPress hely kulcsszavai oda nem tartozó elemekkel hígulnak, ami lerontja a webhely úgynevezett keresőmotor találati oldal (search engine results page; SERP) rangsorolását. Ezáltal a weboldalak üzemeltetői hamarosan azt tapasztalhatják, hogy az oldalaikra jóval kevesebb látogató érkezik, hiszen a Google és egyéb keresők egyre és egyre hátrébb sorolják. A bűnözők célja feltehetőleg az, hogy később pénzt zsaroljanak ki a fertőzött webshopokból az elterelés megszüntetéséért.
Az új támadástípust az teszi különösen veszélyessé, hogy milliónyi nem frissített verziójú, valamint elavult pluginnel és gyenge hitelesítő adatokkal ellátott WordPress hely működik a neten, így a potenciális áldozatok számára hatalmas. A szakértők szerint a legjobb módszer az efféle támadások ellen az, ha magát a WordPress motort is folyamatosan a legújabb verzióra frissítjük, ahogy az elérhetővé válik, valamint az admin felületen belül is folyamatosan frissítjük a beépülő modulokat. Ja, és nem 123456-ot vagy valami hasonló csodát használunk jelszóként.
