Se possiedi un sito sai quanto sia essere facile venir preso sotto attaccato da un hacker su WordPress (e su qualsiasi altro portale).
Saprai anche che tra i metodi più utilizzati per entrare all’interno di un sito WordPress ci sia proprio la possibilità di entrare attraverso i plugin installati.
Sembra che molti utenti, sopratutto negli ultimi mesi abbiano problemi di questo tipo. E le minacce sono rivolte sia da portali grandi che piccoli. Nessuno può risultarne escluso.
Ma come attaccano e sopratutto come proteggersi?
Abbiamo letto in giro i principali motivi di attacco e il modo migliore per tutelarsi dagli hacker su WordPress. Vediamoli insieme.
Come gli entrano gli hacker su WordPress?
Un gruppo di hacker sta sfruttando le vulnerabilità di alcuni dei più famosi plugin (molto utilizzati dagli utenti di WordPress) per entrare all’interno dei siti web e creare account amministrativi non autorizzati.
Gli attacchi che ci sono nell’ultimo periodo fanno parte di un escalation iniziata già dal mese di maggio scorso.
Secondo alcuni programmatori che stanno studiando il caso, sembra che gli hacker hanno sfruttato le vulnerabilità negli stessi plugin per impiantare codici dannosi su siti compromessi.
Inizialmente, questo codice intendeva mostrare annunci popup o reindirizzare i visitatori in arrivo sul sito web sotto attacco verso altri siti dannosi per copiarne i dati.
Il metodo di attacco sembra però molto cambiato sopratutto nelle ultime due settimane per agevolare il lavoro degli hacker. Vediamo come.
Cosa controllare immediatamente sul proprio sito WordPress per capire se siamo sotto attacco
La rivista online ZDNet ha intervistato, riguardo al caso hacker, Mikey Veenstra, analista delle minacce con Defiant (società di sicurezza informatica). L’analista ha dichiarato come a partire dal 20 agosto, questo gruppo di hacker abbia modificato il codice dannoso che veniva installato sui siti compromessi.
Invece di inserire solo pop-up e i reindirizzamenti su siti esterni (come succedeva inizialmente), il nuovo codice dannoso è ora anche in grado di eseguire una funzione per verificare se il visitatore del sito ha la possibilità di creare account utente sul sito. Questa è una funzione disponibile solo per gli account amministratore di WordPress.
In particolare, questo questo nuovo codice dannoso attende che il proprietario del sito acceda internamente al proprio sito web. In seguito, il codice dannoso crea un nuovo account amministratore denominato “wpservices” , utilizzando l’indirizzo e-mail di wpservices@yandex.com e la password di w0rdpr3ss .
Con la creazione di questi account, il gruppo di hacker alla base di questa campagna, ha la possibilità di bloccare completamente il sito per creare una vetrina nuova a loro piacimento.
Come è accaduto in passato, gli hacker utilizzano la nuova vetrina per sfruttare il sito per i loro profitti monetari con l’aggiunta di backdoor per un utilizzo futuro e per un punto di appoggio più persistente.
Quali soo i plugin più a rischio attraverso cui gli hacker riescono ad entrare?
Sempre secondo Veenstra, i plugin più colpiti da questo attacco attualmente sono
- Bold Page Builder
- Blog Designer
- Chat dal vivo con Facebook Messenger
- Post correlati a Yuzo
- Editor di stile Visual CSS
- Supporto WP Live Chat
- Modulo lightbox
- Compositore ibrido
- Tutti gli ex plug -in NicDark ( nd-booking , nd-travel , nd-learning , et. Al.)
Come salvaguardarsi dagli attacchi se si usano questi plugin?
Il consiglio è di eseguire quanto prima se disponibile l’aggiornamento del plugin stesso. Tutti i programmatori infatti sono a conoscenza di questo attacco e stanno modificando i propri codici in modo da venir incontro a questa epidemia hacker.
Dopo aver aggiornato i seguenti plugin, si consiglia ai proprietari dei siti web di controllare nella loro lista interna al sito WordPress i nomi utente registrati come amministratori.
Se trovate l’account “wpservices” rimuovetelo immediatamente (controllate che sia collegato alla e-mail di wpservices@yandex.com e la password di w0rdpr3ss).
Questo passaggio è indispensabile, poiché lo scopo degli hacker è creare un account amministratore e ritornare all’interno del sito Web una volta che gli utenti hanno aggiornato i plugin vulnerabili.
La pulizia dei siti WordPress infetti può essere piuttosto complicata, poiché i proprietari dei siti dovranno anche scansionare i materiali interni con plugin di sicurezza WordPress alla ricerca di vari altri meccanismi backdoor che gli hacker potrebbero aver lasciato alle spalle.
Gli utenti che non hanno dimestichezza sono invitati a cercare un aiuto esterno professionale per evitare di creare problemi ulteriori all’interno del loro sito web.
Conclusioni
Siamo in un periodo in cui gli hacker su WordPress sembrano divertirsi molto alle spalle di piccoli e grandi siti web.
Il nostro consiglio rimane quindi quello di aggiornare quanto prima i plugin installati sul vostro sito e controllare immediatamente di non aver all’interno un utente amministratore con il nome “wpservices” .
Se avete da segnalarci altri plugin scriveteceli nei commenti.