幾百個(gè)WordPress網(wǎng)站在本周末遭到破壞，近300個(gè)WordPress網(wǎng)站以顯示中了“勒索攻擊”，打開網(wǎng)站就顯示“網(wǎng)站已被加密”，黑客試圖勒索網(wǎng)站所有者支付0.1比特幣（約38700人民幣）來解鎖網(wǎng)站。

　　這些留在主頁上的勒索贖金要求帶有倒計(jì)時(shí)，以帶給站長緊迫感從而支付贖金。根據(jù)勒索信中包含的文字的谷歌搜索結(jié)果，到目前為止，該活動已經(jīng)攻擊了至少300個(gè)網(wǎng)站 。雖然與傳統(tǒng)的大額勒索軟件攻擊（動則幾百萬美元）相比，0.1比特幣（約38700元人民幣）的贖金需求顯得微不足道，但對于許多站長來說，這仍然是一個(gè)相當(dāng)大的數(shù)額。

　　搞笑的假勒索？？！！！

　　首次發(fā)現(xiàn)攻擊行為的是網(wǎng)絡(luò)安全公司Sucuri，Sucuri公司受一名美國南部的受害站長請來執(zhí)行安全事件響應(yīng)。

　　Sucuri研究人員經(jīng)過分析發(fā)現(xiàn)這些網(wǎng)站并沒有被加密，而是攻擊者修改了一個(gè)已安裝的WordPress插件，以顯示贖金記錄和倒計(jì)時(shí)。

　　被利用插件：

　　./wp-content/plugins/directorist/directorist-base.php

　　用于顯示贖金記錄和倒計(jì)時(shí)的WordPress插件

　　除了顯示贖金記錄外，該插件還使用一個(gè)基礎(chǔ)的SQL命令來修改所有WordPress博客，查找所有已發(fā)布“post_status”的帖子和頁面更改為“null”（空），從而使所有內(nèi)容無法查看，但其實(shí)內(nèi)容還在數(shù)據(jù)庫內(nèi)。

　　新發(fā)現(xiàn)的插件：

　　./wp-content/plugins/directorist/azz_encrypt.php

　　由此，黑客創(chuàng)造了一種簡單而強(qiáng)大的錯(cuò)覺，使網(wǎng)站看起來好像已被加密。

　　安全人員通過刪除插件并運(yùn)行命令重新發(fā)布帖子和頁面，站點(diǎn)瞬間恢復(fù)到正常狀態(tài)。通過對網(wǎng)絡(luò)流量日志的進(jìn)一步分析，Sucuri發(fā)現(xiàn)攻擊者IP地址的第一個(gè)請求是wp-admin面板，這表明他們在開始惡作劇之前已經(jīng)擁有了對該網(wǎng)站的管理員訪問權(quán)限。也意味著滲透者以管理員身份登錄網(wǎng)站，要么通過暴力破解密碼，要么通過從暗網(wǎng)市場獲取了被盜憑據(jù)。

　　這是廣泛的大范圍攻擊。

　　至于Sucuri看到的插件，它是Directorist，這是一個(gè)在網(wǎng)站上構(gòu)建在線商業(yè)目錄列表的工具，Sucuri跟蹤了大約291個(gè)受這次攻擊影響的網(wǎng)站，谷歌搜索會顯示了一些已清理的網(wǎng)站和那些仍然顯示贖金票據(jù)的網(wǎng)站。

　　我們在搜索結(jié)果中看到的所有網(wǎng)站都使用相同的

　　3BkiGYFh6QtjtNCPNNjGwszoqqCka2SXXX 比特幣地址。

　　但該地址截止目前沒有收到任何贖金，看來這次黑客失算了，能擁有網(wǎng)站管理員權(quán)限，結(jié)果搞個(gè)假勒索，就是玩？？？

　　如何防止網(wǎng)站被真加密

　　Sucuri公司建議采取以下安全措施來保護(hù)WordPress網(wǎng)站免遭黑客攻擊：

　　查看站點(diǎn)管理員用戶，刪除任何不熟悉賬戶，并更改所有wp-admin密碼。

　　保護(hù)（隱藏）您的wp-admin管理員頁面。

　　更改其他接入點(diǎn)密碼（數(shù)據(jù)庫、FTP、cPanel等）。

　　開啟網(wǎng)站防火墻。

　　備份備份備份，以便在發(fā)生真正的加密事件時(shí)輕松恢復(fù)。

　　由于WordPress通常是黑客的目標(biāo)，因此確保所有已安裝的插件都升級到最新版本也很重要。