Le rapport d’activité d’attaque WordPress de janvier 2017

Nous publions le rapport d’activité Wordfence d’attaque WordPress de janvier qui couvre la période allant du 1er janvier au 31 janvier.

La plupart des IP actives

Dans le tableau ci-dessous, nous avons répertorié les adresses d’attaque les plus actives pour janvier 2016. Notez que la colonne ‘Attaques’ est en millions et représente le total de toutes les attaques qui proviennent de chaque IP. Plus loin à droite dans la table (vous devrez peut-être faire défiler à droite), nous faisons éclater les attaques en «force brute» et les attaques «complexes».

Les attaques de force brute sont des attaques de détection de connexion. Ce que nous appelons des attaques «complexes» sont des attaques bloquées par une règle dans le pare-feu Wordfence.

Nous avons également inclus le propriétaire netblock qui est l’organisation, généralement une entreprise, qui possède le bloc d’adresses IP auxquelles l’attaque IP appartient. Vous pouvez Google le nom du propriétaire pour plus d’informations. Une recherche Google pour l’une de ces adresses IP affiche fréquemment des rapports d’attaques.

Le nom d’hôte inclus est l’enregistrement PTR (enregistrement DNS inverse) que le propriétaire de l’adresse IP a créé pour son IP, donc ce n’est pas des données fiables, mais nous l’incluons pour l’intérêt. Par exemple, nous avons vu des enregistrements PTR qui affirment que l’IP est un nœud de sortie Tor, mais il n’est clairement pas basé sur le trafic.

Nous incluons également le pays et un drapeau de pays. À l’extrême droite du rapport, nous montrons la date en janvier, nous avons commencé à enregistrer les attaques et les attaques date ont cessé. Pour beaucoup de ces IPs, nous avons enregistré des attaques pendant tout le mois. Pour certains, vous pouvez voir qu’il ya une «fenêtre» d’attaque clairement définie où l’IP a démarré et s’est arrêtée.

La première chose intéressante au sujet de nos données d’attaque de Janvier est que la même Ukraine IP détient la place numéro un ce Janvier comme nous l’avons vu en Décembre. Nos 3 principaux attaquants ont tous figuré dans la liste du mois dernier.

Cependant, seulement 5 des adresses IP attaquantes dans le top 25 de ce mois figurent également dans la liste des 25 premiers mois du mois. Ceci est une illustration de la façon dont les adresses IP que les attaquants utilisent sont tournées et de nouvelles sont utilisées pour lancer des attaques.

L’attaquant des Seychelles que nous avons vu le mois dernier a chuté de la liste. En outre, nous avons la Turquie figurant sur la liste pour la première fois avec trois adresses IP hébergées à «Yalcin Kanbur trading Webrano Hosting», générant plus de 6 millions d’attaques en Janvier entre eux.

L’Inde a également figuré sur la liste pour la première fois avec une IP hébergée à «Reliance Communications» générant environ 2 millions d’attaques en janvier.

Un changement dans les attaques complexes contre la force brute

Le mois dernier, nous avons vu 66,7 millions d’attaques de force brute et 63,9 millions d’attaques complexes de nos 25 principales attaquantes. Vous vous souviendrez qu’une attaque complexe est celle qui cible une vulnérabilité de plug-in, de thème ou de base et est bloquée par le pare-feu Wordfence.

Ce mois-ci, nous constatons 64,1 millions d’attaques de force brute de nos 25 principales attaquantes. Cependant, cette fois, nous ne voyons que 34,5 millions d’attaques complexes.

Ce changement indique que les attaquants les plus prolifiques ont changé leur stratégie et se concentrent plus sur les attaques WordPress de force brute que sur essayer d’exploiter les vulnérabilités dans WordPress core, thèmes et plugins.

Attaques de la Force Brute sur WordPress en Janvier 2017

Brute Force Attacks on WordPress in January 2017

Le graphique ci-dessus montre l’activité de la force brute sur les sites WordPress que nous avons vu en janvier. Vous remarquerez un pic énorme dans l’activité juste avant le milieu du mois. Cela vous donne vraiment une idée du type de volatilité qui peut se produire.

Nous verrons parfois des situations comme celle-ci où un attaquant aura accès aux serveurs qu’ils peuvent utiliser comme une plate-forme d’attaque. Ils vont générer une énorme quantité d’activité jusqu’à ce que leur IPs sont arrêtés par le fournisseur d’hébergement ou d’administration réseau.

En Décembre, nous avons vu un pic similaire, mais il a seulement atteint un sommet à environ 46 millions d’attaques par jour. En janvier, le pic était d’environ 53 millions d’attaques par jour.

Cela a contribué à une augmentation de la moyenne des attaques par jour pour janvier, soit 26 millions d’attaques par jour contre 20 millions pour décembre.

Attaques complexes sur WordPress en janvier 2017

Nous avons vu une diminution des attaques sur le pare-feu Wordfence en janvier 2017. Le nombre moyen d’attaques est passé de 5 millions d’attaques par jour en décembre à 4,7 millions d’attaques par jour en janvier.

Cette diminution du nombre d’attaques est due à seulement un seul grand pic dans le trafic d’attaque en Janvier, comparativement à un pic soutenu en Décembre qui a duré plus d’une semaine.

Cependant, le nombre d’attaques en janvier pendant les périodes faibles a été significativement plus élevé qu’en décembre, avec 3,5 millions en décembre contre 4 millions à la plus faible activité en janvier.

Attaques sur les plugins

Le tableau ci-dessus montre le top 25 plugins qui ont connu la plupart des attaques au cours de Janvier 2017. Le tableau montre le rang en Janvier, puis le changement de classement par rapport à Décembre. Si vous faites défiler jusqu’à l’extrême droite, vous pouvez voir le nombre d’attaques par plugin au cours de la période.

Le plugin WP-Mobile-Detector a vu le plus grand gain dans le nombre d’attaques, en sautant 25 points dans notre classement à la position 12. Le plugin a été supprimé du référentiel WordPress plugin, probablement parce qu’une vulnérabilité n’a pas été corrigée par l’auteur et La dernière critique a été posté il ya plus de 7 mois.

Le plugin continue à voir des attaques, ce qui peut indiquer que certains sites WordPress ont encore installé et sont encore vulnérables. Il peut également être simplement parce que les kits d’outils d’attaque qui tentent d’exploiter plusieurs vulnérabilités intègrent cet exploit et lancent une série d’exploits sur des sites Web dans l’espoir que l’un d’eux fonctionne.

Laissez-moi savoir dans les commentaires si vous avez des données supplémentaires que vous aimeriez contribuer, qui peuvent indiquer les raisons des gains ou des pertes de plug-in en nombre d’attaques, ou tout autre aperçu que vous souhaitez partager.

Attaques sur les thèmes

Le tableau ci-dessus montre les attaques que nous avons vues sur les thèmes en janvier et nous avons inclus le changement de classement depuis décembre. Les classements pour ces thèmes sont incroyablement stables. Le changement le plus important que nous avons observé est le « linen » qui a une inclusion locale de fichier ou une vulnérabilité LFI qui est devenue publique en avril 2014. La vulnérabilité permet à un attaquant de télécharger le fichier wp-config.php.

La stabilité du classement dans les attaques thématiques suggère qu’il n’y a pas beaucoup d’innovation parmi les attaquants ciblant les thèmes d’attaque. Ils utilisent probablement les mêmes vieux kits d’outils d’attaque qui tentent d’exploiter les mêmes anciennes vulnérabilités de thème et le classement reste stable car les kits d’outils d’attaque restent relativement inchangés.

Attaques par pays

Dans ce rapport pour la première fois, nous incluons des données sur le nombre d’attaques en provenance de chaque pays. Comme il s’agit d’un nouvel ajout à notre rapport mensuel d’activité d’attaque, nous n’aurons pas de données de changement de classement pour ce mois.

Le nombre d’attaques ci-dessous est la somme de la force brute et des attaques complexes qui proviennent de chaque pays. Il est important de noter que cela n’indique pas que le gouvernement d’un pays donné lance des attaques. C’est plutôt une indication générale de l’état de sécurité dans chaque pays.

Il ya quelques facteurs qui peuvent causer une augmentation des attaques d’un pays particulier:

  • Le pays a simplement un grand nombre de serveurs hébergés dans ses frontières. C’est probablement le cas avec les États-Unis qui a le plus de serveurs hébergés dans ses frontières hors de toute autre nation.
  • Le pays peut manquer d’application lorsque des plaintes sont reçues. En d’autres termes, si l’application de la loi locale est laxiste, il peut y avoir des fournisseurs d’hébergement malveillants dans le pays qui sont capables d’agir comme plates-formes d’attaque.
  • Il peut être simplement un grand fournisseur d’hébergement dans le pays qui a un problème de sécurité et est par inadvertance fournissant une plate-forme d’attaque via des serveurs compromis pour le reste du monde.

Conclusion

Cela conclut notre premier rapport d’activité d’attaque de Wordfence de 2017. Comme toujours, nous vous invitons à télécharger les données dans les tableaux ci-dessus pour effectuer votre propre analyse et le partager ici dans les commentaires.
S’il vous plaît postez vos questions ou commentaires dans les commentaires et comme toujours je serai là pour essayer de répondre.
Source Wordfence