Експерти компанії Wordfence виявили новий тип web-атак, в ході яких зловмисники використовують незавершені інсталяції WordPress. Тобто, атаки грунтуються на сайтах, куди користувачі вже завантажили систему управління контентом (CMS) WordPress, нот так і не встановили її до кінця. Такі ресурси відкриті для зовнішніх підключень, і хто завгодно може отримати доступ до панелі установки і завершити процес інсталяції CMS.

За даними Wordfence, з кінця травня і до середини червня поточного року різко зросла кількість сканувань інтернету на наявність інсталяцій WordPress інсталяційний файл. Дослідники виявили як мінімум одного хакера, який отримав доступ до сайту, де CMS не був встановлений до кінця. Невідомий завантажив пароль і логін своєї власної бази даних і завершив процес інсталяції.

Таким чином, він забезпечив собі можливість управляти сайтом через заново створений обліковий запис адміністратора і через редактор файлів впроваджувати і виконувати шкідливий код для отримання контролю над чужим сервером. Зловмисник також встановив власний плагін для виконання шкідливого коду.

Одночасно з ростом числа сканувань в червні 2017 року збільшилась кількість атак на сайти під управлінням WordPress. Найчастіше атаки здійснювалися з IP-адрес в Росії, Україні та США.