В сети отмечается всплеск взломов сайтов, построенных на базе движка Wordpress. Разработчикам пока не удалось выяснить причину взлома, так как взлому подверглись не только устаревшие версии, но и сайты на базе последней версии Wordpress. С другой стороны число пораженных сайтов не так велико, чтобы можно было утверждать о наличии в коде неизвестной неисправленной уязвимости.

В качестве предположений, рассматриваются варианты уязвимости в каком-то популярном, но нестандартном, плагине или целенаправленный взлом на основе перехваченных троянским ПО паролей. Примечательно еще и то, что все взломанные сайты, размещались на общем хостинге нескольких крупных американских хостинг-провайдеров, ни одного взлома установок Wordpress на собственном сервере зафиксировано не было.

После взлома в код footer.php интегрируется специально подготовленная php-вставка, выводящая JavaScript-блок, нацеленный на установку вредоносного ПО на машину пользователя при открытии сайта в необновленных версиях web-браузеров Internet Explorer и Firefox. Добавляемый в WordPress вредоносный код имеет защиту от фиксации через технологию Google Safe Browsing и при запросе поисковых ботов Google и Yahoo выдает немодифицированный вариант страницы. Просканировать свой сайт на предмет наличия троянской вставки можно через сервис sucuri.net.

Источник