Hacker: preso di mira WordPress

Ondata di attacchi hacker che ha preso di mira i bug di sicurezza in quattro plugin WordPress.

Una minaccia alla sicurezza. Avviso di WordPress che è stato letteralmente preso di mira dagli hacker: i cybercriminali prendono di mira più di 1,6 milioni di siti in un massiccio attacco informatico.

La società di sicurezza informatica Wordfence afferma che i suoi ricercatori hanno rilevato un’ondata continua di attacchi originati da oltre 16.000 indirizzi IP diversi.

Il Wordfence Theat Intelligence Team ha affermato che nelle ultime ore si è verificata un’ondata di attacchi che ha preso di mira i bug di sicurezza in quattro plugin WordPress e quindici temi Epsilon Framework. Wordfence afferma di aver bloccato finora più di 13,7 milioni di attacchi.

I quattro plugin presi di mira sono: Kiwi Social Share, WordPress Automatic, Pinterest Automatic e PublishPress Capabilities. I ricercatori, riportano da Computing, affermano che i plugin sono interessati dalle vulnerabilità “Authenticated Arbitrary Options update“.

Si dice anche che gli hacker stiano prendendo di mira un difetto di “Function Injection” in 15 temi Epsilon Framework per aggiornare le opzioni arbitrarie. Uno dei 15 temi attualmente non ha una patch disponibile.

WordPress: quali versioni vulnerabili?

I temi target di Epsilon Framework e le versioni vulnerabili sono:

• Activello <=1.4.1
• Allegiante <=1.2.5
• Benestante <1.1.0
• Formosa <=1.2.8
• Antrea <=1.0.6
• NewsMag <=2.4.1
• Malato <=2.1.6
• Giornale X <=1.3.1
• MedZone Lite <=1.2.5
• Pixova Lite <=2.0.6
• Brillantezza <=1.2.9
• Trascende <=1.1.9
• Regina Lite <=2.0.5
• Pazzi <=1.0.5
• NatureMag Lite – Nessuna patch disponibile (si consiglia di disinstallare dal sito)

Gli analisti di Wordfence affermano inoltre che gli hacker stanno cambiando l’opzione “users_can_register” su “abilitato” e impostando l’opzione “default_role” su “amministratore” nella maggior parte dei casi. Ciò consente agli hacker di registrarsi come amministratore su un sito e di prenderne il controllo. I primi tre IP offensivi includono:

• 144.91.111.6 con 430.067 attacchi bloccati
• 185.9.156.158 con 277.111 attacchi bloccati
• 195.2.76.246 con 274.574 attacchi bloccati

Gli amministratori del sito web sono invitati a verificare se il loro sito è già stato compromesso esaminando tutti gli utenti e cercando eventuali account non autorizzati. Gli amministratori dovrebbero eliminare qualsiasi aggiunta non autorizzata il prima possibile.

Si consiglia inoltre di rivedere le impostazioni del sito su “http://examplesite[.]com/wp-admin/options-general.php” e assicurarsi che le impostazioni di appartenenza e “nuovo ruolo predefinito utente” siano impostate correttamente.

Importante aggiornare i plugin

Tutti i plugin e i temi su WordPress dovrebbero essere aggiornati il prima possibile. La storia ci insegna che l’obsolescenza informatica ha permesso tuttavia più di un attacco negli scorsi anni.

Nel 2019, il sito Web di Mailgun è stato attaccato da hacker che hanno preso di mira un plug-in di WordPress chiamato Yuzo Related Posts. I criminali informatici hanno aggiunto codice nei siti che reindirizzavano i visitatori a un sito web dannoso. Nello stesso anno, gli hacker hanno sfruttato una falla nel plugin Social Warfare per attaccare i siti web. I criminali hanno iniettato codice JavaScript nei link di condivisione social presenti sui post di un sito web.

Già nel 2017 è stato scoperto che un popolare plugin di WordPress, che era stato installato su circa 300.000 siti Web. Dopo la sua compromissione, questo, apriva una backdoor nei siti web.

Gli aggressori hanno anche violato la società di hosting web GoDaddy il mese scorso e hanno ottenuto l’accesso alle informazioni di quasi 1,2 milioni di clienti attivi e inattivi di Managed WordPress.

L’attacco sui ha consentito ai criminali di visualizzare i numeri dei clienti, gli indirizzi e-mail e le password per il protocollo e il database di trasferimento sicuro dei file, nonché i nomi utente del database per i clienti attivi.