40 theme e 53 plugin WordPress della AccessPress sono stati violati

Argomenti:
Pubblicato il: 23-01-2022 11:13 , Ultimo aggiornamento: 23-01-2022 11:17

Una violazione informatica di quelle considerevoli, appena annunciata dal sito di settore BleepingComputer: si tratterebbe nello specifico di un supply chain attack, ovvero di un attacco informatico mirato contro le componenti più deboli della AccessPress, l’azienda informatica nepalese che ha prodotto e commercializzato theme e plugin in questione. In totale, 43 theme e 53 plugin sono stati coinvolti nel problema. I singoli webmaster dovrebbero provvedere in autonomia a risolvere il problema, seguendo la falsariga delle istruzioni di seguito riportate.

L’attacco è stato scoperto dai ricercatori di Jetpack, il celebre strumento per utilizzare gratuitamente una CDN in WordPress e fornire vari strumenti utili (tra cui statistiche e il WordPress Accelerator, sia in versione free che a pagamento). I ricercatori hanna scoperto e rilevato la presenza di una specifica backdoor in PHP, ovvero una parte di codice (non necessariamente malevola in genera, ma molto usata nel mondo dei malware) inserita in alcuni theme e plugin al fine di garantirsi una “porta di accesso secondaria” al sito. In sostanza con questo script gli aggressori informatici possono controllare lato amministratore siti altrui con versioni dei plugin e dei theme corrotte (il problema non dovrebbe riguardare le versioni originali e comprate dal sito ufficiale dei file, per inciso)

Tutto parte da una versione non ufficiale (probabilmente una versione pirata) di qualcuno dei prodotti ufficiali della AccessPress, che introduce illecitamente nel sito bersaglio un file dal nome initial.php che viene incluso nel file function.php del theme in uso (in modo tale da rimanere sempre caricato nel sito). Il payload (ovvero la parte critica del malware) è codificato in base64, una codifica molto utilizzata dai malware WordPress per essere meno comprensibile alla lettura di un esperto, e la backdoor a questo punto è pronta per essere sfruttata dai malintenzionati.

Immagine di bleepingcomputer.com – Clicca per ingrandire

Come facciamo ad accorgerci di avere un problema? Anzitutto l’uso di theme o plugin di AccessPress è un indizio sostanziale per sospettarlo, anche se bisognerebbe verificare di avere installato uno dei plugin indicati nella lista ufficiale del sito di Jetpack. Se non avete nessuno dei plugin indicati potete stare tranquilli, contrariamente dovrete fare un po’ di check: anzitutto il file initial.php è abbastanza indicativo della presenza di un malware, per cui uno potrebbe fare una scansione dei file alla ricerca di quest’ultimo.

Che pero’, a quanto pare, viene automaticamente cancellato dopo un po’ dallo script, per cui potrebbe non essere indicativo in tal senso. Il malware compromette il funzionamento di WordPress, per cui andrebbe verificato che i file siano integri (potete farlo con una scansione del plugin iThemes Security, ad esempio, che in genere si “accorge” automaticamente se c’è qualche problema del genere). La presenza di una funzione dal nome wp_is_mobile_fix nel file vars.php dentro wp-includes è indicativa in tal senso, così come la funzione dal nome wp-theme-connect.

Se il theme è infetto è altamente consigliato di cambiarlo, così come si suggerisce di cambiare username e password del database, così come verificare che non siano presenti account amministrativi extra. È opportuno pure cambiare password di tutti gli utenti WordPress, in generale. Si può seguire, a riguardo, la guida ufficiale My website was hacked sul Codex ufficiale. Photo by Souvik Banerjee on Unsplash 


Questo articolo contiene 528 parole – Questo blog esiste da 3.759 giorni.
5/5 (1)

Che te ne pare?

Grazie per aver letto 40 theme e 53 plugin WordPress della AccessPress sono stati violati di Salvatore su Trovalost.it
40 theme e 53 plugin WordPress della AccessPress sono stati violati (News, Guide per la configurazione di WordPress)

Articoli più letti su questi argomenti: