针对WordPress的攻击调查

WordPress是一个著名的开源内容管理系统（CMS），用于创建网站和个人博客，据估计，目前35%的网站都在使用CMS。

针对CMS平台的攻击时有发生，本文分析了针对WordPress的不同类型的攻击，以及管理访问、API、Shell部署和seo等攻击特点。

此方法可获得WordPress网站的管理员访问权限。攻击者可以利用漏洞或泄露的凭据进行攻击，向目标网站上的/wp-log in.php发送POST请求来完成。

成功登录后，攻击者可具有管理员权限，并进行如下操作：

安装带有后门的自定义主题

安装插件以上传文件

这两个操作通常在成功获得管理员权限后使用，可以选择更改管理员密码或创建新的管理员帐户。常见的方法是使用公共主题并嵌入带有远程代码执行（RCE）功能的自定义后门，文件上传插件允许攻击者直接上传有效负载。

利用一个后门部署另一个具有类似功能的后门是常见操作。当有效负载/命令/代码编码在COOKIES或POST数据中时，通过使用GET或POST请求来完成部署。解码程序会部署在先前的后门中。还观察到攻击者会patch已经存在的.php文件使恶意请求更加隐蔽。首先，记录所有可写路径，随机选择合适的路径，然后patch所选文件。

攻击者会将Web shell部署在受感染的WordPress网站上。

受感染的WordPress站点的另一个实例是搜索引擎优化（SEO），已发现部署的PHP脚本在GET请求中接受关键字。