Top 50 mais atacado WordPress Plugins
- Woensdag, 17e Augustus, 2016
- 13:58s'middags
Na semana passada nós compartilhamos os 20 melhores temas WordPress mais atacada se uma explicação de por que muitos deles são direcionados. Esta semana temos escavado em profundidade os dados e estamos publicando os 50 melhores plugins WordPress mais atacadas durante os últimos 7 dias.
Os dados que estão compartilhando hoje baseia-se nas seguintes métricas de alto nível:
- Durante a semana passada Wordfence bloqueada 20,644,496 ataques exclusivos em todos os locais que protegem.
- Vimos ataques de 73,629 endereços IP exclusivos durante o período.
- 20,622,975 ataques vieram de endereços IPv4 e 15.160 desses ataques foram endereços IPv6.
- Dos cerca de 1,5 milhões de sites ativos que protegem, 581.689 desses sites receberam ataques durante a semana passada.
O que se segue é uma lista de plugins que receberam o maior número de ataques durante a semana passada - contados os mais recentes 7 dias, a partir de terça-feira 16 de agosto e olhando para trás 7 dias. Mais uma vez, estamos mostrando o plug-in 'bala', que é o nome do diretório único que o plug-in usa quando se instala no WordPress.
Esta semana estamos ordenando as coisas um pouco diferente. Temos os plugins ordenados por número de locais únicos que receberam ataques, rotulados como "Sites atacados". Nós sentimos que este é um modo mais útil porque mostra como um ataque generalizado está em um plug-in especial, ao invés de apenas volume bruto de ataques.
"Total de ataques" indica o número total de ataques que iniciaram sessão que plugin. "IPs" é o número total de endereços IP únicos que um ataque alvejando o plugin originou.
"Type" é o tipo de ataque - na maioria dos casos é um ataque "local inclusão de arquivos", que permite que um atacante para baixar qualquer arquivo que eles querem no sistema de destino. A grande maioria dos arquivos que são alvo são ou o wp-config.php arquivo que contém o nome de usuário de banco de dados, senha e servidor ou / etc / passwd , que contém os nomes de usuário do sistema operacional hospedeiro.
Onde temos marcado o tipo como "Shell" indica um ataque que permite que um atacante para carregar um shell para o site de destino que lhes dá acesso remoto completo. Estes são os mais graves vulnerabilidades e ataques.
Todos os ataques estão em vulnerabilidades que já são conhecidas publicamente. Se você executar qualquer um desses plugins WordPress, certifique-se de que:
- Você está usando a versão mais recente do plug-in.
- Essa versão não tem nenhum vulnerabilidades conhecidas.
- Você está executando Wordfence com o Firewall habilitado porque nós proteger contra todas as vulnerabilidades apresentadas.
A lista dos 50 melhores plugins mais atacadas durante a semana passada segue:
Plugin | Sites atacados | total de ataques | IPs | Digitar |
recent-backups | 182525 | 351014 | 3467 | LFI |
wp-simpósio | 149860 | 242715 | 3460 | Concha |
google-mp3-audio-jogador | 138282 | 307743 | 2032 | LFI |
db-de backup | 129519 | 287043 | 2189 | LFI |
WPTF-image-gallery | 107.000 | 131938 | 2846 | LFI |
wp-ecommerce-shop-styling | 103471 | 131011 | 2887 | LFI |
candidata-application-forma | 103017 | 127359 | 2820 | LFI |
wp-miniaudioplayer | 91546 | 196557 | 1381 | LFI |
ebook-download | 88461 | 189640 | 1.408 | LFI |
ajax-store-locator-wordpress_0 | 86051 | 119192 | 1396 | LFI |
hb-audio-gallery-lite | 82041 | 105618 | 1505 | LFI |
simples-ads-manager | 70683 | 166131 | 6476 | Concha |
revslider | 53549 | 145626 | 407 | Concha |
inboundio-comercialização | 53063 | 112696 | 874 | Concha |
wpshop | 51609 | 111546 | 830 | Concha |
DZS-zoomsounds | 51089 | 225032 | 731 | Concha |
reflex-gallery | 49853 | 111624 | 699 | Concha |
wp-mobile-detector | 38764 | 115235 | 800 | Concha |
formcraft | 25192 | 52604 | 668 | Concha |
sexy-contact-form | 19076 | 50649 | 316 | Concha |
Download do arquivo | 12584 | 19.400 | 353 | LFI |
plugin-boletim | 11982 | 23887 | 451 | LFI |
simple-download-button-shortcode | 11.558 | 21.502 | 427 | LFI |
pica-photo-gallery | 11.059 | 16587 | 262 | LFI |
tinymce-thumbnail-gallery | 10972 | 16429 | 263 | LFI |
dukapress | 10.814 | 16.235 | 333 | LFI |
wp-filemanager | 10.756 | 16.634 | 331 | LFI |
história de coleta | 10.427 | 24371 | 607 | LFI |
s3bubble-amazon-s3-html-5-video-com-anúncios | 10.312 | 24011 | 595 | LFI |
simple-image-manipulador | 7268 | 8272 | 448 | LFI |
IBS-mappro | 5555 | 18738 | 448 | LFI |
image-exportação | 5442 | 6047 | 266 | LFI |
abtest | 5431 | 5.885 | 297 | LFI |
wp-swimteam | 5119 | 5433 | 238 | LFI |
Contus-video-gallery | 4921 | 17866 | 345 | LFI |
vender-downloads | 4393 | 4746 | 240 | LFI |
brandfolder | 4268 | 4619 | 230 | LFI |
TheCartPress | 4164 | 4534 | 274 | LFI |
avançado Uploader | 4.066 | 4.351 | 203 | LFI |
aviário-image-editor-add-on-a-gravidade formas | 3548 | 5749 | 247 | Concha |
wp-post-frontend | 1811 | 16.690 | 294 | Concha |
[Redacted] * | 1716 | 2133 | 65 | Concha |
mdc-youtube-downloader | 1039 | 5517 | 199 | LFI |
document_manager | 915 | 4450 | 148 | LFI |
-Paypal-currency-converter básico-for-woocommerce | 797 | 1.133 | 129 | LFI |
justifica-image-grid | 788 | 17.852 | 35 | LFI |
cherry-plugin | 539 | 3.919 | 31 | Concha |
Aspose-cloud-ebook-gerador | 531 | 720 | 25 | LFI |
gwolle-gb | 331 | 406 | 46 | LFI |
* O plugin redigido na lista foi removido antes da publicação. É uma vulnerabilidade de upload shell mais velhos em situação irregular que está sendo alvejado. A vulnerabilidade não existe na versão atual do plugin. Porque está em situação irregular é tecnicamente uma vulnerabilidade de dia zero, mesmo que a vulnerabilidade foi corrigido nas versões mais recentes do plugin, por isso, decidimos remover o nome do plugin.
*Notas
O grande número de vulnerabilidades de inclusão de arquivos locais que estão sendo exploradas é surpreendente. Gostaria também de salientar que muitos destes LFI de foram descobertos por Larry Cashdollar que tive o prazer de ver falar em Defcon em Las Vegas de 2 semanas atrás. Então, eu suspeito que muitas delas estão sendo usados em um script de ataque de algum tipo que pode explicar a sua prevalência nos ataques que estamos vendo.
O agrupamento de juntas e Shell de LFI explora em conjunto na lista de ordem é estranho, mas eu não tenho uma teoria para explicar isso e não há nenhum erro nos dados que é responsável por isso. Parece ser coincidência.
A vulnerabilidade nos backups recentes plugins no topo da lista foi divulgada em agosto de 2015 e o plug-in já foi removido do repositório, provavelmente porque não estava sendo mantida. O grande número de exploits dirigidas este plugin são intrigantes porque tanto quanto eu posso dizer de archive.org, o plugin só tinha alguns milhares de instalações. Pode ser porque é muito fácil de " google dork " para encontrar sites que são vulneráveis ea abundância de sites de destino pode tornar este um alvo atraente.
Como nota final, eu gostaria de acrescentar que estes dados é simplesmente uma indicação do volume de ataques que estamos vendo em plugins em estado selvagem em toda a superfície de ataque de grandes dimensões que é sites WordPress que estão protegidos por Wordfence. Ele não dá qualquer indicação de que um plugin nesta lista é mais ou menos seguro do que outros. Ele não inclui dados sobre como ataques bem sucedidos sobre os plugins apresentados podem ou não ser. É puramente uma indicação de atividade de ataque em estado selvagem no WordPress plugins durante a semana passada.
Seus comentários são bem-vindas como sempre.