Эксперты компании Wordfence обнаружили новый тип web-атак, в ходе которых злоумышленники используют незавершенные инсталляции WordPress. То есть, атаки основываются на сайтах, куда пользователи уже загрузили систему управления контентом (CMS) WordPress, нот так и не установили ее до конца. Такие ресурсы открыты для внешних подключений, и кто угодно может получить доступ к панели установки и завершить процесс инсталляции CMS.

По данным Wordfence, с конца мая и до середины июня текущего года резко возросло число сканирований интернета на наличие инсталляций WordPress с установочным файлом. Исследователи обнаружили как минимум одного хакера, получившего доступ к сайту, где CMS не была установлена до конца. Неизвестный загрузил пароль и логин своей собственной базы данных и завершил процесс инсталляции.

Таким образом, он обеспечил себе возможность управлять сайтом через заново созданную учетную запись администратора и через редактор файлов внедрять и выполнять вредоносный код для получения контроля над чужим сервером. Злоумышленник также установил собственный плагин для выполнения вредоносного кода.

Одновременно с ростом числа сканирований в июне 2017 года увеличилось количество атак на сайты под управлением WordPress. Чаще всего атаки осуществлялись с IP-адресов в России, Украине и США.