Recientemente los equipos de Threat Intelligence de Wordfence y Site Cleaning han estado rastreando una campaña de malware dirigida a usuarios de WordPress que aprovecha la reutilización de contraseñas y el uso del plugin Jetpack para instalar complementos maliciosos y redirigir a los visitantes del sitio afectado a páginas fraudulentas.
Jetpack es un complemento muy popular entre los usuarios de WordPress que permite añadir al CMS multitud de funcionalidades extra. En concreto, en el repositorio oficial se indica que se encuentra en más de 5 millones de instalaciones activas en el momento de escribir este artículo.
Una de las funcionalidades de esta extensión es la de permitir a los usuarios que han iniciado sesión en WordPress.com realizar diversas tareas de gestión en sitios que estén conectados a dicha web a través de Jetpack. Esto significa que si las credenciales del usuario se ven comprometidas por cualquier motivo, un atacante podría iniciar sesión usando dicha información e añadir al sitio web cualquier código mediante la instalación de plugins.
Esto es lo que probablemente ha ocurrido en la campaña investigada segun publica en su blog de la compañía Wordfence, quien aclara que no se trata de una brecha de datos en WordPress.com. Consideran que es muy posible que los atacantes hayan accedido a cuentas de usuarios de WordPress.com haciendo uso de filtraciones de datos recientes y aprovechando que la reutilización de contraseñas es un asunto muy habitual, y de esta forma hayan instalado los complementos maliciosos.
Dado que este ataque depende de que las credenciales de WordPress.com estén comprometidas previamente, no es posible bloquear el mismo de forma directa. Si bien es muy recomendable una política de cambios de contraseña habitual, así como habilitar la autenticación en dos pasos para las cuentas de WordPress.com, y por supuesto cambiar la contraseña de forma inmediata si detectamos que nuestro sitio se ha visto afectado por esta campaña.
FUENTE: https://unaaldia.hispasec.com/2021/06/detectada-campana-maliciosa-dirigida-a-usuarios-de-wordpress-a-traves-de-jetpack.html
Muy buena noticia.
Guao, extraño lo de esta campaña