Fraser Howard, a SophosLabs víruskutatója, a Sophos NakedSecurity blogból
Az elmúlt néhány hét folyamán tapasztaltuk, hogy számos különböző legitim weboldal tartalmaz egy specifikus rosszindulatú JavaScript-et. Amikor ártatlan felhasználók böngésznek ezeken az oldalakon, a beinjektált JavaScript egy „iframe" elemet ad hozzá az oldalhoz, ezáltal további rosszindulatú tartalmat lehet betölteni egy távoli oldalról.
Amint azt láthatják, a beinjektált scriptek polimorfikusak és erősen túlbonyolítottak, vagyis ez egyike a hackerek által a leggyakrabban használt trükköknek az észlelés elkerülése céljából. A túlbonyolítástól függetlenül a Sophos termékek általánosan blokkolják a rosszindulatú scripteket, méghozzá Mal/JSlfrLD-A néven.
Az érintett oldalak számát nézve gyorsan belátható, hogy egy közös hivatkozást osztanak meg - látszólag mindannyian a WordPress-t futtatják. Aha, ez a fő ok? Összességében a WordPress injektáló támadások eléggé gyakoriak, és erre minden weboldal adminnak oda kellene figyelnie.
A tipikus WordPress injektáló támadásokban az adatbázis végződés kártékony HTML kóddal lesz „megfűszerezve" (tipikusan egy iframe vagy script elemmel, más távoli tartalmak betöltése céljából), mint ahogy egy weboldalt böngészés közben megnéznek a felhasználók, és az oldal kártékony kódot tartalmaz. Ebben a legutóbbi támadásban a dolgok egy kicsit azért bonyolultabbak.
.....
Lábjegyzetként megjegyezném, hogy míg a biztonság nem a legfontosabb szempont egy hoszt szolgáltató kiválasztásánál, elég magasan kellene lennie a listánkon. Feltételezzük, hogy az összes szerver, weboldal és web alkalmazás meg lesz támadva. Feltételezzük, hogy ezen támadások közül néhány sikeres lesz. Amit tudnunk kell az, hogy a szolgáltatónk hogyan fog reagálni - a megtisztítástól a jövőbeni támadások elleni felkészülésig és megerősítésig.