È in corso da ieri una massiccia ondata di attacchi informatici sferrati da oltre 16.000 indirizzi IP e diretti contro 1,6 milioni di siti WordPress: i cyber attaccanti stanno prendendo di mira le vulnerabilità di sicurezza presenti in quattro differenti plugin e in quindici temi grafici distribuiti da Epsilon, con l’obiettivo di creare account con privilegi di amministratore per prendere il pieno controllo dei siti target.
Una minaccia davvero grave, soprattutto se si considera che sono 455 milioni i siti WordPress attualmente attivi: il CMS, infatti, alimenta più del 30 per cento dei siti web a livello globale. La piattaforma e i plugin di terze parti rappresentano, dunque, un obiettivo attraente per i cyber criminali.
Siti WordPress violati con finti attacchi ransomware: ecco la nuova truffa
Indice degli argomenti
I plugin e temi grafici di WordPress vulnerabili
Secondo un’analisi dei ricercatori Wordfence, la portata della campagna malevola è davvero notevole: nelle prime 36 ore, infatti, sono stati identificati e bloccati già 13,7 milioni di attacchi.
I plugin vulnerabili sfruttati dai criminal hacker negli attacchi sono i seguenti:
- Kiwi Social Share (versione 2.0.10 e precedenti)
- WordPress Automatic (versione 3.53.2 e precedenti)
- Pinterest Automatic (versione 4.14.3 e precedenti)
- PublishPress Capabilities (versione 2.3 e precedenti)
I temi grafici vulnerabili sono invece i seguenti:
- Activello (versione 1.4.1 o precedenti)
- Affluent (versione 1.1.0 o precedenti)
- Allegiant (versione 1.2.5 o precedenti)
- Antreas (versione 1.0.6 o precedenti)
- Bonkers (versione 1.0.5 o precedenti)
- Brilliance (versione 1.2.9 o precedenti)
- Illdy (versione 2.1.6 o precedenti)
- MedZone Lite (versione 1.2.5 o precedenti)
- NewsMag (versione 2.4.1 o precedenti)
- Newspaper X (versione 1.3.1 o precedenti)
- Pixova Lite (versione 2.0.6 o precedenti)
- Regina Lite (versione 2.0.5 o precedenti)
- Shapely (versione 1.2.8 o precedenti)
- Transcend (versione 1.1.9 o precedenti)
- NatureMag Lite (tutte le versioni)
Da segnalare che alcuni dei plugin e temi grafici presi di mira erano stati patchati già nel 2018, mentre altri hanno affrontato le loro vulnerabilità solo questa settimana. Solo per il tema grafico NatureMag Lite al momento non risulta disponibile alcuna patch, per cui tutte le versioni sono potenzialmente esposte a possibili attacchi ed è dunque consigliabile disinstallarlo immediatamente.
È dunque importante aggiornare il prima possibile i propri siti WordPress per metterli al riparo da possibili compromissioni.
Come avviene l’attacco ai siti WordPress
Secondo quanto hanno scoperto i ricercatori di Wordfence, nella maggior parte degli attacchi i criminal hacker sfruttano le varie vulnerabilità presenti nei siti WordPress per accedere ai pannelli di configurazione dei plugin e dei temi grafici esposti e impostare l’opzione users_can_register su enabled e l’opzione default_role su administrator.
Ciò consente loro di creare un account utente registrato e acquisire i permessi di amministratore, prendendo di fatto il pieno controllo del sito WordPress.
Come mettere in sicurezza i siti WordPress
Come abbiamo già detto, per mitigare il rischio di un attacco è importante aggiornare il prima possibile il proprio sito WordPress.
“A causa della gravità di queste vulnerabilità e della massiccia campagna che le prende di mira, è incredibilmente importante assicurarsi che il vostro sito sia protetto dalla compromissione”, dicono i ricercatori Wordfence nel loro rapporto. “Raccomandiamo vivamente di assicurarsi che qualsiasi sito che esegue uno di questi plugin o temi sia stato aggiornato alla versione patchata. Solo l’aggiornamento dei plugin e dei temi garantirà che il vostro sito rimanga al sicuro dalla compromissione contro qualsiasi exploit che mira a queste vulnerabilità”.
È importante sottolineare, però, che l’aggiornamento dei plugin non eliminerà la minaccia se il sito è già stato compromesso. In questo caso, si consiglia di seguire le seguenti istruzioni per riportarlo in condizioni di sicurezza.
Innanzitutto, per determinare se un sito web è stato compromesso, gli amministratori devono esaminare gli account utente registrati sul sito per determinare se ce ne sono di non sono autorizzati.
Qualora il sito stia eseguendo una versione vulnerabile di uno dei quattro plugin o dei vari temi grafici, è importante rimuovere immediatamente qualsiasi account utente sospetto.
Infine, gli amministratori dei siti WordPress esposti devono rivedere le impostazioni in http://examplesite[.]com/wp-admin/options-general.php e assicurarsi che le opzioni Membership e New User Default Role siano entrambe impostate correttamente.
Come consiglio generale, poi, è importante limitare il numero di plugin installati sul proprio sito WordPress, perché questo riduce drasticamente le possibilità di essere presi di mira dai criminal hacker.
