Una nueva campa\u00f1a maliciosa ha comprometido m\u00e1s de 15,000 sitios web de WordPress<\/a> en un intento de redirigir a los visitantes a portales de preguntas y respuestas falsos.<\/p>\n “Estos redireccionamientos maliciosos parecen estar dise\u00f1ados para aumentar la autoridad de los sitios del atacante para los motores de b\u00fasqueda”, dijo el investigador de Sucuri, Ben Martin. dijo<\/a> en un informe publicado la semana pasada, llam\u00e1ndolo un “truco inteligente de SEO de sombrero negro”.<\/p>\n La t\u00e9cnica de envenenamiento del motor de b\u00fasqueda est\u00e1 dise\u00f1ada para promover un “pu\u00f1ado de sitios falsos de preguntas y respuestas de baja calidad” que comparten plantillas de creaci\u00f3n de sitios web similares y son operados por el mismo actor de amenazas.<\/p>\n Un aspecto notable de la campa\u00f1a es la capacidad de los piratas inform\u00e1ticos para modificar m\u00e1s de 100 archivos por sitio web en promedio, un enfoque que contrasta dr\u00e1sticamente con otros ataques de este tipo en los que solo se manipula una cantidad limitada de archivos para reducir la huella y escapar de la detecci\u00f3n.<\/p>\n Algunas de las p\u00e1ginas m\u00e1s com\u00fanmente infectadas incluyen wp-signup.php, wp-cron.php, wp-links-opml.php, wp-settings.php, wp-comments-post.php, wp-mail.php, xmlrpc .php, wp-activate.php, wp-trackback.php y wp-blog-header.php.<\/p>\n Este extenso compromiso permite que el malware ejecute los redireccionamientos a los sitios web elegidos por el atacante. Vale la pena se\u00f1alar que las redirecciones no ocurren si el cookie de wordpress_logged_in<\/a> est\u00e1 presente o si la p\u00e1gina actual es wp-login.php (es decir, la p\u00e1gina de inicio de sesi\u00f3n) para evitar levantar sospechas.<\/p>\n El objetivo final de la campa\u00f1a es “dirigir m\u00e1s tr\u00e1fico a sus sitios falsos” y “aumentar la autoridad de los sitios mediante clics de resultados de b\u00fasqueda falsos para que Google los clasifique mejor y obtengan m\u00e1s tr\u00e1fico de b\u00fasqueda org\u00e1nico real”.<\/p>\n El c\u00f3digo inyectado logra esto al iniciar una redirecci\u00f3n a una imagen PNG alojada en un dominio llamado “ois[.]es<\/a>” que, en lugar de cargar una imagen, lleva al visitante del sitio web a una URL de resultado de b\u00fasqueda de Google de un dominio de preguntas y respuestas de spam.<\/p>\n No est\u00e1 claro de inmediato c\u00f3mo se violan los sitios de WordPress, y Sucuri dijo que no not\u00f3 que se explotaran fallas obvias en los complementos para llevar a cabo la campa\u00f1a.<\/p>\n Dicho esto, se sospecha que se trata de un caso de fuerza bruta en las cuentas de administrador de WordPress, por lo que es esencial que los usuarios habiliten la autenticaci\u00f3n de dos factores y se aseguren de que todo el software est\u00e9 actualizado.<\/p>\n <\/p>\n<\/div>\n![\"Campa\u00f1a](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/11\/1668430743_120_Mas-de-15000-sitios-de-WordPress-comprometidos-en-una-campana.jpg\" "\\"Campa\u00f1a")
<\/div>\n![](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/11\/El-servicio-de-phishing-de-Robin-Banks-para-ciberdelincuentes-regresa.gif\")
![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/10\/Adolescente-de-19-anos-arrestado-por-usar-datos-filtrados-de.png\")
<\/a><\/center><\/div>\n