La empresa de seguridad Doctor Web ha descubierto un programa malicioso para Linux que ataca sitios de WordPress con plugins y temas obsoletos y vulnerables. El malware está diseñado para explotar 30 vulnerabilidades de temas y plugins e inyectar código JavaScript malicioso en los sitios web, redirigiendo a los visitantes al sitio web elegido por el atacante. Ha estado activo durante más de tres años y se ha actualizado para aprovechar vulnerabilidades adicionales.
El malware ataca las versiones de 32 bits de Linux, pero también puede ejecutarse en versiones de 64 bits. Existen dos versiones del malware: Linux.BackDoor.WordPressExploit.1 y Linux.BackDoor.WordPressExploit.2. Esta última incluye una dirección de servidor actualizada para distribuir el JavaScript malicioso y una lista ampliada de vulnerabilidades explotadas. El informe de Doctor Web especula que los atacantes podrían tener un plan a largo plazo para mantener el acceso administrativo incluso después de que los usuarios actualicen a versiones más recientes y parcheadas de los complementos comprometidos.
Doctor Web ha publicado un documento con indicadores de vulnerabilidad del malware de puerta trasera de Linux que infecta sitios web de WordPress. El documento incluye hashes, direcciones IP y dominios utilizados por el malware en sus ataques. Los profesionales de seguridad y los administradores de WordPress pueden usar esta información para detectar y prevenir futuras infecciones.
Para protegerse contra esta amenaza, es fundamental que los usuarios de WordPress mantengan sus temas y plugins actualizados y utilicen contraseñas seguras y únicas. También es recomendable usar un firewall de aplicaciones web y realizar análisis regulares en busca de malware.
Si sospecha que su sitio de WordPress ha sido comprometido, es fundamental tomar medidas inmediatas para protegerlo y evitar daños mayores. Esto puede incluir restaurar el sitio desde una copia de seguridad e instalar medidas de seguridad para prevenir futuros ataques.
