Halo Bro, ijinkan saya untuk mencomot artikel dari hackernews.com yang terbit pada tgl 14 November 2022 ya.
Berikut isi artikelnya:
Kampanye jahat baru telah menyerang lebih dari 15.000 situs WordPress dalam upaya untuk mengarahkan pengunjung ke portal pertanyaan dan jawaban (Q&A) palsu.
“Redirect jahat ini tampaknya dirancang untuk meningkatkan otoritas situs peretas untuk mesin pencari,” kata peneliti Sucuri, Ben Martin, dalam laporan yang dipublikasikan pekan lalu, yang menyebutnya sebagai “trik SEO hitam yang cerdik”.
Teknik pencemaran mesin pencari dirancang untuk mempromosikan “beberapa situs Q&A palsu berkualitas rendah” yang memiliki template pembuatan situs yang serupa dan dioperasikan oleh pelaku ancaman yang sama.
Aspek yang mencolok dari kampanye ini adalah kemampuan para hacker untuk memodifikasi lebih dari 100 file per situs secara rata-rata, pendekatan yang sangat berbeda dari serangan jenis lainnya di mana hanya jumlah terbatas file yang dimodifikasi untuk mengurangi jejak dan terdeteksi.
Beberapa halaman yang paling sering terinfeksi terdiri dari wp-signup.php, wp-cron.php, wp-links-opml.php, wp-settings.php, wp-comments-post.php, wp-mail.php, xmlrpc.php, wp-activate.php, wp-trackback.php, dan wp-blog-header.php.
Serangan ini memungkinkan malware untuk melakukan pengalihan ke situs web pilihan penyerang. Perlu dicatat bahwa pengalihan tidak terjadi jika cookie wordpress_logged_in ada atau jika halaman saat ini adalah wp-login.php (yaitu, halaman login) agar tidak menimbulkan keraguan.
Tujuan akhir kampanye ini adalah untuk “mendorong lebih banyak lalu lintas ke situs palsu mereka” dan “meningkatkan otoritas situs mereka menggunakan klik hasil pencarian palsu untuk membuat Google menilai mereka lebih baik sehingga mereka mendapatkan lebih banyak lalu lintas pencarian organik yang nyata”.
Kode yang dimasukkan mencapai tujuan ini dengan memulai pengalihan ke gambar PNG yang disimpan di domain bernama “ois[.]is” yang, bukan memuat gambar, mengambil pengunjung situs web ke URL hasil pencarian Google dari domain pertanyaan dan jawaban spam.
Tidak segera jelas bagaimana situs WordPress diserang, dan Sucuri mengatakan tidak melihat plugin apa pun yang dieksploitasi untuk melaksanakan kampanye.
Meskipun demikian, diduga ini adalah kasus brute-forcing akun administrator WordPress, sehingga penting bagi pengguna untuk mengaktifkan otentikasi dua faktor dan memastikan semua perangkat lunak up-to-date.