In questo blog non mancano gli aggiornamenti sui vari plugin di WordPress, spesso molto noti, sui quali gli esperti di cybersecurity specializzati nell’analisi delle minacce riscontrano e segnalano vulnerabilità più e meno gravi ma che possono mettere a repentaglio la salute di migliaia di siti web sviluppati utilizzando il noto CMS. Oggi vediamo un approfondimento su ciò che succede quando vengono installati plugin simili agli originali (ma fraudolenti) o, più in generale, non si fa troppa attenzione agli strumenti che utilizziamo, focalizzandoci quindi sul prosieguo di una catena di infezioni.
Ci viene in soccorso una delle ultime notizie in ambito di sicurezza WordPress, che parla di una lunga serie di portali infetti che stanno portando avanti la sopracitata catena. Pare infatti che oltre 6.000 siti web sviluppati col CMS, ai quali sono stati trafugati gli accessi al backend, vengano utilizzati per infettarne altri passando prima dall’installazione di plugin infetti. Tramite quello che sembra un aggiornamento falso di un browser, i criminali prendono possesso delle credenziali e si insinuano tra gli amministratori dei portali, per poi installare plugin dai nomi molto simili ad altri molto utilizzati per poter passare più inosservati agli utenti maggiormente distratti. Questi plugin si chiamano, ad esempio, Wordfence Security Classic o Universal Popup Plugin oltre a nomi più stuzzicanti come SEO Booster Pro.
Tutta questa operazione è finalizzata all’installazione del malware ClickFix all’interno dei portali, poiché dopo che è stata effettuata l’installazione di uno dei tanti plugin coinvolti il visitatore del sito riceverà finti messaggi d’errore o pop-up, tutto questo aggiungendo codice Javascript dannoso all’HTML. Questo ovviamente porta a far proseguire la catena d’eventi ma anche al furto di dati. Questi attacchi, come già detto, sembrano essere nati però non da precedenti vulnerabilità di WordPress, poiché gli esperti hanno notato che coloro che li stanno perpetrando sembrerebbero già a conoscenza dei dati d’accesso, probabilmente rubati tramite attacchi brute force o campagne di phishing.
Questi problemi sono purtroppo molto frequenti quando si parla di CMS, ma c’è ovviamente una serie di procedure da seguire con regolarità per abbassare le probabilità di incappare in problemi. Una di esse è quella che ripetiamo continuamente, ovvero controllare. Se gestiamo un sito WordPress è sempre buon uso guardare con regolarità se sono stati installati plugin sospetti, soprattutto se non lo si è fatto in prima persona. In secondo luogo, ma in modo del tutto correlato, bisogna controllare che non siano presenti nuovi utenti con privilegi, operazione assai semplice, così come eliminare eventuali intrusi. Ultima ma non meno importante è, come abbiamo visto, la gestione delle password di accesso al backend, che vanno modificate in modo regolare stando attenti anche alla robustezza di quest’ultime.
Fonte: 1
