低級魔術勒索WordPress網主無人中招超失敗

低級魔術勒索WordPress網主無人中招超失敗

唔少人都會用 WordPress 嚟架設網站,其中一個原因係 plug-in 選擇夠多。網絡安全公司 Sucuri 研究員最近就發現,約 300 個 WordPress 網站被黑客借助 Directorist 外掛程式,將網站內容隱藏得一乾二淨,勒索WordPress 網站管理員交 0.1 個 Bitcoin 作為解鎖贖金。不過,研究員話所謂嘅加密網站內容只係假象嚟,其實黑客只係將網站內容變走,只要管理員保持冷靜小心調查,就可以揭穿呢種低級魔術。

小技巧阻止勒索WordPress

Sucuri 研究員解釋,黑客可以成功控制到呢啲網站帳戶,相信都係利用暴力破解密碼(brute-force),或於地下網站購買帳戶資料,所以 WordPress 網站如想阻止帳戶被盜用,必須啟動雙重因素驗證(2FA)或其他額外登入功能。講返今次手法,Directorist 本身係一個設定網站目錄嘅外掛程式,佢可以批量修改網站內容,而今次黑客就選擇將所有網站內容由「已發布」改變為「草稿」,所以先令網站內容喺一瞬間消息,但實際上佢哋仲存在緊喺 WordPress 網站之內。另外,黑客又喺網站首頁貼出勒索訊息,再加上一個倒數器增加迫切感,目的當然係希望網站管理員盡快俾贖金,不過研究員就話根據對方貼出嘅支付贖金連結,暫時仲未見到有人中招。

詳情:https://bit.ly/3DF7pN1