האקרים מכוונים מתקפות סייבר נגד אתרי וורדפרס בעלי גרסה מיושנת של תוסף LiteSpeed Cache כדי ליצור משתמשי מנהל ולהשיג שליטה באתרים. LiteSpeed Cache (LS Cache) הינו תוסף מטמון המשמש ביותר מחמישה מיליון אתרי וורדפרס. התוסף עוזר להאיץ את טעינת דפי האתר, לשפר את חווית המבקרים ולהעלות את דירוג האתר בגוגל. צוות האבטחה של WPScan הבחין באפריל בפעילות מוגברת של האקרים הסורקים אתרי וורדפרס ופוגעים באתרי וורדפרס בעלי גרסאות של התוסף שהן ישנות מ- 5.7.0.1 – גירסאות החשופות לפגם בסקריפט חוצה אתרים בחומרה גבוהה – מכתובת IP אחת היו יותר מ- 1.2 מיליון בקשות בדיקה בעת סריקה לאיתור אתרים פגיעים.
WPScan מדווח כי מתקפות הסייבר משתמשות בקוד JavaScript זדוני המוזרק לקבצי וורדפרס קריטיים או למסד הנתונים ויוצרים משתמשי מנהל בשם 'wpsupp-user' או 'wp-configuser'. סימן נוסף לפריצה לאתר הינו נוכחות המחרוזת 'eval(atob(Strings.fromCharCode' באפשרות 'litespeed.admin_display.messages' במסד הנתונים.
היכולת ליצור חשבונות ניהול באתרי וורדפרס מעניקה להאקרים שליטה מלאה באתר ומאפשרת להם לשנות תוכן, להתקין תוספים, לשנות הגדרות קריטיות, להפנות תנועה לאתרים לא בטוחים, להפיץ נוזקות, להפעיל מתקפות דיוג ולגנוב נתוני משתמשים.
בתחילת השבוע דיווחה Wallarm על מתקפת סייבר נוספת המכוונת לתוסף וורדפרס בשם 'Email Subscribers', לשם יצירת חשבונות מנהל. למרות שתוסף Email Subscribers הרבה פחות פופולרי מ- LiteSpeed Cache, עם סך של 90,000 התקנות פעילות, המתקפות שנצפו מראות שהאקרים לא יירתעו מכל הזדמנות.
למנהלי אתרי וורדפרס מומלץ לעדכן תוספים לגרסה העדכנית ביותר, להסיר או להשבית רכיבים שאינם נחוצים ולפקח על יצירת חשבונות אדמין חדשים. ניקוי אתר מלא הוא חובה במקרה של פריצה: התהליך דורש מחיקת כל חשבונות ההאקרים, איפוס סיסמאות לכל החשבונות הקיימים ושחזור קבצי מסד הנתונים והאתר מגיבויים נקיים.
