Při monitorování útoků na WordPress instalace, zanamenala služba WordFence, masívní nárůst nového typu útoků.
Automatizovaný útok scanuje url /wp-admin/setup-config.php. V případě, že je tato url nalezena a obsahuje setup, útočník zjistí, že je sice nainstalován WordPress, ale není dokončena instalace.
V tu chvíli je poměrně snadné pro útočníka napadnout nejen nový web, ale i hosting a všechny weby v něm umístěné.
Jak útok funguje?
WordPress může být nainstalován pomocí FTP, prostým překopírováním souborů, nebo instalaci vytvoří hosting pomocí autoinstalačního balíčku.
V obou případech to může znamenat, že na serveru jsou potřebné soubory, ale není vytvořený configurační soubor.
Útočník pak jednoduše projde instalčním formulářem a do formuláře pro přístup k databázi, vloží svou databázi. Následně dokončí instalační proces a s údajik admin účtu, jenž zadal, je schopen se přihlásit do administrace WordPressu.
Díky tomu, že má admin práva, může na server nainstalovat jakýkoliv plugin a díky němu i spustit bez problému škodlivý kód.
Jeho provedením tak může získat přístup ke všem souborům a instalacím, jenž jsou součástí hostingu.
Zdroj: https://www.wordfence.com/blog/2017/07/wpsetup-attack/