Na semana passada nós compartilhamos os 20 melhores temas WordPress mais atacada se uma explicação de por que muitos deles são direcionados. Esta semana temos escavado em profundidade os dados e estamos publicando os 50 melhores plugins WordPress mais atacadas durante os últimos 7 dias.

Os dados que estão compartilhando hoje baseia-se nas seguintes métricas de alto nível:

  • Durante a semana passada Wordfence bloqueada 20,644,496 ataques exclusivos em todos os locais que protegem.
  • Vimos ataques de 73,629 endereços IP exclusivos durante o período.
  • 20,622,975 ataques vieram de endereços IPv4 e 15.160 desses ataques foram endereços IPv6.
  • Dos cerca de 1,5 milhões de sites ativos que protegem, 581.689 desses sites receberam ataques durante a semana passada.

O que se segue é uma lista de plugins que receberam o maior número de ataques durante a semana passada - contados os mais recentes 7 dias, a partir de terça-feira 16 de agosto e olhando para trás 7 dias. Mais uma vez, estamos mostrando o plug-in 'bala', que é o nome do diretório único que o plug-in usa quando se instala no WordPress.

Esta semana estamos ordenando as coisas um pouco diferente. Temos os plugins ordenados por número de locais únicos que receberam ataques, rotulados como "Sites atacados". Nós sentimos que este é um modo mais útil porque mostra como um ataque generalizado está em um plug-in especial, ao invés de apenas volume bruto de ataques.

"Total de ataques" indica o número total de ataques que iniciaram sessão que plugin. "IPs" é o número total de endereços IP únicos que um ataque alvejando o plugin originou.

"Type" é o tipo de ataque - na maioria dos casos é um ataque "local inclusão de arquivos", que permite que um atacante para baixar qualquer arquivo que eles querem no sistema de destino. A grande maioria dos arquivos que são alvo são ou o wp-config.php arquivo que contém o nome de usuário de banco de dados, senha e servidor ou / etc / passwd , que contém os nomes de usuário do sistema operacional hospedeiro.

Onde temos marcado o tipo como "Shell" indica um ataque que permite que um atacante para carregar um shell para o site de destino que lhes dá acesso remoto completo. Estes são os mais graves vulnerabilidades e ataques.

Todos os ataques estão em vulnerabilidades que já são conhecidas publicamente. Se você executar qualquer um desses plugins WordPress, certifique-se de que:

  1. Você está usando a versão mais recente do plug-in.
  2. Essa versão não tem nenhum vulnerabilidades conhecidas.
  3. Você está executando  Wordfence com o Firewall habilitado porque nós proteger contra todas as vulnerabilidades apresentadas.

A lista dos 50 melhores plugins mais atacadas durante a semana passada segue:

Plugin Sites atacados total de ataques IPs Digitar
recent-backups 182525 351014 3467 LFI
wp-simpósio 149860 242715 3460 Concha
google-mp3-audio-jogador 138282 307743 2032 LFI
db-de backup 129519 287043 2189 LFI
WPTF-image-gallery 107.000 131938 2846 LFI
wp-ecommerce-shop-styling 103471 131011 2887 LFI
candidata-application-forma 103017 127359 2820 LFI
wp-miniaudioplayer 91546 196557 1381 LFI
ebook-download 88461 189640 1.408 LFI
ajax-store-locator-wordpress_0 86051 119192 1396 LFI
hb-audio-gallery-lite 82041 105618 1505 LFI
simples-ads-manager 70683 166131 6476 Concha
revslider 53549 145626 407 Concha
inboundio-comercialização 53063 112696 874 Concha
wpshop 51609 111546 830 Concha
DZS-zoomsounds 51089 225032 731 Concha
reflex-gallery 49853 111624 699 Concha
wp-mobile-detector 38764 115235 800 Concha
formcraft 25192 52604 668 Concha
sexy-contact-form 19076 50649 316 Concha
Download do arquivo 12584 19.400 353 LFI
plugin-boletim 11982 23887 451 LFI
simple-download-button-shortcode 11.558 21.502 427 LFI
pica-photo-gallery 11.059 16587 262 LFI
tinymce-thumbnail-gallery 10972 16429 263 LFI
dukapress 10.814 16.235 333 LFI
wp-filemanager 10.756 16.634 331 LFI
história de coleta 10.427 24371 607 LFI
s3bubble-amazon-s3-html-5-video-com-anúncios 10.312 24011 595 LFI
simple-image-manipulador 7268 8272 448 LFI
IBS-mappro 5555 18738 448 LFI
image-exportação 5442 6047 266 LFI
abtest 5431 5.885 297 LFI
wp-swimteam 5119 5433 238 LFI
Contus-video-gallery 4921 17866 345 LFI
vender-downloads 4393 4746 240 LFI
brandfolder 4268 4619 230 LFI
TheCartPress 4164 4534 274 LFI
avançado Uploader 4.066 4.351 203 LFI
aviário-image-editor-add-on-a-gravidade formas 3548 5749 247 Concha
wp-post-frontend 1811 16.690 294 Concha
[Redacted] * 1716 2133 65 Concha
mdc-youtube-downloader 1039 5517 199 LFI
document_manager 915 4450 148 LFI
-Paypal-currency-converter básico-for-woocommerce 797 1.133 129 LFI
justifica-image-grid 788 17.852 35 LFI
cherry-plugin 539 3.919 31 Concha
Aspose-cloud-ebook-gerador 531 720 25 LFI
gwolle-gb 331 406 46 LFI

* O plugin redigido na lista foi removido antes da publicação. É uma vulnerabilidade de upload shell mais velhos em situação irregular que está sendo alvejado. A vulnerabilidade não existe na versão atual do plugin. Porque está em situação irregular é tecnicamente uma vulnerabilidade de dia zero, mesmo que a vulnerabilidade foi corrigido nas versões mais recentes do plugin, por isso, decidimos remover o nome do plugin.

*Notas

O grande número de vulnerabilidades de inclusão de arquivos locais que estão sendo exploradas é surpreendente. Gostaria também de salientar que muitos destes LFI de foram descobertos por Larry Cashdollar que tive o prazer de ver falar em Defcon em Las Vegas de 2 semanas atrás. Então, eu suspeito que muitas delas estão sendo usados ​​em um script de ataque de algum tipo que pode explicar a sua prevalência nos ataques que estamos vendo.

O agrupamento de juntas e Shell de LFI explora em conjunto na lista de ordem é estranho, mas eu não tenho uma teoria para explicar isso e não há nenhum erro nos dados que é responsável por isso. Parece ser coincidência.

A vulnerabilidade nos backups recentes plugins no topo da lista foi divulgada em agosto de 2015 e o plug-in já foi removido do repositório, provavelmente porque não estava sendo mantida. O grande número de exploits dirigidas este plugin são intrigantes porque tanto quanto eu posso dizer de archive.org, o plugin só tinha alguns milhares de instalações. Pode ser porque é muito fácil de " google dork " para encontrar sites que são vulneráveis ​​ea abundância de sites de destino pode tornar este um alvo atraente.

Como nota final, eu gostaria de acrescentar que estes dados é simplesmente uma indicação do volume de ataques que estamos vendo em plugins em estado selvagem em toda a superfície de ataque de grandes dimensões que é sites WordPress que estão protegidos por Wordfence. Ele não dá qualquer indicação de que um plugin nesta lista é mais ou menos seguro do que outros. Ele não inclui dados sobre como ataques bem sucedidos sobre os plugins apresentados podem ou não ser. É puramente uma indicação de atividade de ataque em estado selvagem no WordPress plugins durante a semana passada.

Seus comentários são bem-vindas como sempre.



Wednesday, August 17, 2016







« Voltar