เว็บไซต์ที่ใช้ WordPress และ Joomla ที่เสี่ยงต่อการเป็นอันตรายของ Injector และ Redirector Script

เว็บไซต์ที่ใช้ระบบการจัดการเนื้อหา (CMS) ที่เป็นที่นิยมเช่น Joomla และ WordPress จะต้องอยู่ภายใต้การแทรกโค้ดและสคริปต์ตัวเปลี่ยนเส้นทาง เห็นได้ชัดว่าภัยคุกคามด้านความปลอดภัยใหม่ส่งผู้เยี่ยมชมที่ไม่สงสัยไปยังเว็บไซต์ที่ดูแท้จริง แต่เป็นอันตรายอย่างมาก เมื่อเปลี่ยนเส้นทางสำเร็จแล้ว ภัยคุกคามด้านความปลอดภัยจะพยายามส่งรหัสและซอฟต์แวร์ที่ติดไวรัสไปยังคอมพิวเตอร์เป้าหมาย

นักวิเคราะห์ด้านความปลอดภัยได้ค้นพบภัยคุกคามด้านความปลอดภัยที่น่าประหลาดใจซึ่งกำหนดเป้าหมายไปที่ Joomla และ WordPress ซึ่งเป็นสองแพลตฟอร์ม CMS ที่ได้รับความนิยมและใช้กันอย่างแพร่หลาย เว็บไซต์หลายล้านแห่งใช้ CMS อย่างน้อยหนึ่งรายการเพื่อสร้างแก้ไขและเผยแพร่เนื้อหา ขณะนี้นักวิเคราะห์เตือนเจ้าของเว็บไซต์ Joomla และ WordPress เกี่ยวกับสคริปต์การเปลี่ยนเส้นทางที่เป็นอันตรายซึ่งผลักผู้เยี่ยมชมไปยังเว็บไซต์ที่เป็นอันตราย Eugene Wozniak นักวิจัยด้านความปลอดภัยของ Sucuri ได้ให้รายละเอียดเกี่ยวกับภัยคุกคามด้านความปลอดภัยที่เป็นอันตรายซึ่งเขาได้ค้นพบในเว็บไซต์ของลูกค้า

ภัยคุกคาม. htaccess ที่เพิ่งค้นพบไม่ได้พยายามทำให้โฮสต์หรือผู้เยี่ยมชมพิการ แต่เว็บไซต์ที่ได้รับผลกระทบพยายามเปลี่ยนเส้นทางการเข้าชมเว็บไซต์ไปยังไซต์โฆษณาอยู่ตลอดเวลา แม้ว่าสิ่งนี้อาจฟังดูไม่เสียหาย แต่สคริปต์หัวฉีดยังพยายามติดตั้งซอฟต์แวร์ที่เป็นอันตราย ส่วนที่สองของการโจมตีเมื่อควบคู่ไปกับเว็บไซต์ที่ดูถูกต้องตามกฎหมายอาจส่งผลกระทบอย่างรุนแรงต่อความน่าเชื่อถือของโฮสต์

Joomla เช่นเดียวกับเว็บไซต์ WordPress มักใช้ไฟล์. htaccess เพื่อทำการเปลี่ยนแปลงการกำหนดค่าในระดับไดเรกทอรีของเว็บเซิร์ฟเวอร์ ไม่จำเป็นต้องพูดถึงนี่เป็นองค์ประกอบที่ค่อนข้างสำคัญของเว็บไซต์เนื่องจากไฟล์มีการกำหนดค่าหลักของหน้าเว็บโฮสต์และตัวเลือกซึ่งรวมถึงการเข้าถึงเว็บไซต์การเปลี่ยนเส้นทาง URL การย่อ URL และการควบคุมการเข้าถึง

ตามที่นักวิเคราะห์ด้านความปลอดภัยระบุว่าโค้ดที่เป็นอันตรายกำลังใช้ฟังก์ชันการเปลี่ยนเส้นทาง URL ของไฟล์. htaccess ในทางที่ผิด“ ในขณะที่เว็บแอปพลิเคชันส่วนใหญ่ใช้การเปลี่ยนเส้นทางคุณลักษณะเหล่านี้มักใช้โดยผู้ไม่หวังดีเพื่อสร้างการแสดงผลโฆษณาและเพื่อส่ง ผู้เข้าชมไซต์ที่ไม่สงสัยในไซต์ฟิชชิ่งหรือหน้าเว็บที่เป็นอันตรายอื่น ๆ "

สิ่งที่เกี่ยวข้องอย่างแท้จริงคือไม่มีความชัดเจนว่าผู้โจมตีเข้าถึงเว็บไซต์ Joomla และ WordPress ได้อย่างไร แม้ว่าความปลอดภัยของแพลตฟอร์มเหล่านี้จะค่อนข้างแข็งแกร่ง แต่เมื่ออยู่ภายในผู้โจมตีสามารถวางโค้ดที่เป็นอันตรายลงในไฟล์ Index.php ของเป้าหมายหลักได้อย่างง่ายดาย ไฟล์ Index.php มีความสำคัญเนื่องจากมีหน้าที่ในการส่งมอบหน้าเว็บ Joomla และ WordPress เช่นการจัดรูปแบบเนื้อหาและคำแนะนำพิเศษ โดยพื้นฐานแล้วมันเป็นชุดคำสั่งหลักที่แนะนำสิ่งที่จะส่งมอบและวิธีการส่งมอบสิ่งที่เว็บไซต์นำเสนอ

หลังจากได้รับการเข้าถึงผู้โจมตีสามารถวางไฟล์ Index.php ที่แก้ไขแล้วได้อย่างปลอดภัย หลังจากนั้นผู้โจมตีสามารถฉีดการเปลี่ยนเส้นทางที่เป็นอันตรายไปยังไฟล์. htaccess ภัยคุกคามตัวฉีด. htaccess เรียกใช้รหัสที่ค้นหาไฟล์. htaccess ของเว็บไซต์ต่อไป หลังจากค้นหาและฉีดสคริปต์การเปลี่ยนเส้นทางที่เป็นอันตรายภัยคุกคามจะทำให้การค้นหาลึกขึ้นและพยายามค้นหาไฟล์และโฟลเดอร์เพิ่มเติมที่จะโจมตี

วิธีการหลักในการป้องกันการโจมตีคือการถ่ายโอนข้อมูลการใช้งานไฟล์. htaccess ทั้งหมด ในความเป็นจริงการสนับสนุนเริ่มต้นสำหรับไฟล์. htaccess ถูกตัดออกโดยเริ่มจาก Apache 2.3.9 แต่เจ้าของเว็บไซต์หลายรายยังคงเลือกที่จะเปิดใช้งาน