Ainda de acordo com essas observações, essa mesma botnet estaria tentando ganhar acesso administrativo nas instalações do Wordpress através de um ataque do tipo dicionário, baseado em nomes administrativos populares (como o sempre sugerido nome de usuário "admin"). Matthew Prince da CloudFlare especula que uma das motivações para esses ataques seja o de comprometer os servidores web que hospedam essas instalações Wordpress, para tornar os mesmos novos membros dessa já enorme botnet. Vale ressaltar que servidores web de companhias profissionais de hospedagem são os mais desejados para se tornarem membros de uma botnet já que eles estariam rodando em hardware mais poderoso e com acesso melhores recursos de rede. Em contrapartida, um computador de um usuário final nem se compara em capacidade de hardware e rede.
Ainda de acordo com a Sucuri, os atacantes tem instalado o kit de exploit Blackhole em algumas das hospedagens Wordpress que foram comprometidas, o que permitiria comprometer também computadores de usuários que acessassem via Internet esses blogs em Wordpress.
Enquanto ataques similares tem atingido instalações Wordpress por anos, a escala da botnet em uso eleva o problema a novo patamar. Matt Mullenweg, fundador e atual chefe de desenvolvimento do Wordpress, recomenda que seus usuários troquem seus nomes de usuários administrativos para algo diferente de "admin". Ele também lembra que implementar uma limitação de acesso via IP para a interface administrativa não funciona bem devido a quantidade enorme de IPs utilizados pela botnet. E para finalizar, certifique-se que sua senha de acesso é forte, possuindo número e variações de caracteres o suficiente, misturando letras, números e caracteres especiais. Não utilize palavras comuns encontradas em dicionário como forma de acesso as suas instalações Wordpress.
Saiba Mais:
- Heise Online: Large botnet attacks WordPress installations worldwide (em Inglês)