【惡意攻擊】6000 WordPress網站遭入侵　假訊息誘導網民裝資訊盜竊器

不少網站都會使用 WordPress 平台製作及管理網站，但有雲端服務供應商就發現，近來兩個有關連的黑客組織 Clearfake 及 Clickfix 已成功入侵 6000 個 WordPress 帳戶，並在網站的 HTML 碼中偷偷加入惡意功能，只要有人訪問網站，就會彈出虛假的錯誤及修復訊息建議，誘導網民安裝資訊盜竊器。雖然需要網民手動執行多個步驟，未必容易成功，但專家亦強調網站管理員必須小心提防中招。

WordPress 一直是黑客的熱門攻擊對象，因為使用其服務的企業或個人用家極多，而憑著擁有大量功能插件，WordPress 亦成為最多人使用的網站管理平台之一。根據官方最新公布的數字，全球約有 4.78 億個網站都是使用其平台建立及管理，在所有網站中佔 43.5%，有如此龐大的用戶群及影響力，難怪會成為黑客頭號攻擊目標，過往就有不少網絡攻擊事件發生，當中以盜取管理員身份憑證、編寫帶有惡意功能的插件，以及濫用平台或插件的零日或已知漏洞佔最多數。

而在這次發現的事件中，雲端服務供應商 GoDaddy 的專家指出黑客是盜用了管理員帳戶的登入資料，然後在網站內注入 ClearFake 或 ClickFix 惡意功能的偽冒插件，例如會假扮為合法的 SEO 工具、Litespeed 網站優化工具等等。

當有網民訪問網站，惡意編碼便會啟動並在到訪者的瀏覽器上彈出 Google Chrome、Google Meet 或 Facebook 的錯誤及修復訊息，要求網民複製及手動執行一段實際上含惡竟資訊竊取功能的 Powershell 指令，以此入侵對方的電腦。專家說 ClearFake 的攻擊自 2023 年已出現，而 ClickFix 則在今年 6 月至 9 月開始活躍。

另一間網站安全公司 Sucuri 也公布了一個名為 Universal Popup Plugin 的假外掛程式攻擊報告，黑客在目標網站後台安裝惡意插件後，便會自動嘗試載入儲存於幣安智能鏈智能合約中惡意 JavaScript 文件，然後載入 ClearFake 或 ClickFix 編碼。

報告中指出黑客似乎正在利用竊取的管理員憑證登入 WordPress 網站，而且還是透過單一 POST HTTP 請求登入後台管理頁面，相信是以自動化的方式完成入侵活動。專家指雖然不清楚黑客如何取得憑證，但估計是透過先前的暴力破解攻擊、網絡釣魚和資訊竊取惡意軟件等方法取得。

如果網站是以 WordPress 建立及管理，專家建議管理員應該立即檢查已安裝插件列表，並刪除任何可疑的插件。如發現未知插件，管理員還應該立即重設所有管理員使用者的密碼。