超过15000个WordPress网站在恶意SEO活动中遭到破坏

一个新的恶意活动已经破坏了15000多个WordPress网站，试图将访问者重定向到虚假的QA入口。

Sucuri研究人员本·马丁（Ben Martin）在上周发表的一份报告中称，“这些恶意重定向似乎旨在提高攻击者网站对搜索引擎的权限”。

搜索引擎中毒技术旨在推广“少数假冒的低质量问答网站”，这些网站共享类似的网站建设模板，并由同一威胁行为人运营。

这场活动的一个显著方面是黑客平均每个网站修改100多个文件的能力，这种方法与其他此类攻击形成了鲜明对比，这种攻击只篡改了有限数量的文件，以减少足迹和逃避检测。

一些最常见的感染页面包括wp-signup.php、wp-cron.php、wp-links-opml.php、wp-settings.php、wp-comments-pst.php、wp-mail.php、xmlrpc.php、wp-activate.php、wp-trackback.php和wp-blog-header.php。

这种广泛的漏洞允许恶意软件执行重定向到攻击者选择的网站。值得指出的是，如果存在wordpress_logged_in cookie，或者当前页面是wp-login.php（即登录页面），则不会发生重定向，以避免引起怀疑。

这场运动的最终目标是“为他们的假网站带来更多流量”，“利用假搜索结果点击提高网站的权威性，使谷歌对其进行更好的排名，从而获得更多真正的有机搜索流量”。

注入的代码通过启动重定向到托管在名为“ois[.]is”的域上的PNG图像来实现这一点，该域不加载图像，而是将网站访问者带到垃圾邮件的一个域。

目前还不清楚WordPress网站是如何被破坏的，Sucuri表示，它没有注意到任何明显的插件缺陷被利用来开展活动。

也就是说，这被怀疑是一个暴力强迫WordPress管理员帐户的案例，这使得用户必须启用双因素身份验证并确保所有软件都是最新的。