In questi giorni i ricercatori di Automattic hanno scoperto che diversi temi e plugin sviluppati da AccessPress sono stati compromessi inserendo backdoor sfruttando quello che possiamo definire supply-chain attack.
Si stima che siano coinvolti circa 360.000 siti basati su WordPress.
L’attacco supply-chain permette di accedere al sito che ospita il software, sostituendo la versione originale con una versione infetta. Il codice della backdoor è presente in 40 temi e 53 plugin di AccessPress: sottolineiamo che le versioni pubblicate nei repository di WordPress.org non sono state compromesse.
Jetpack afferma di aver scoperto questa vulnerabilità a settembre 2021, comunicandola subito a AccessPress che ha risposto con un mese di ritardo dicendo di aver rimosso le estensioni coinvolte. AccessPress ha rilasciato a gennaio le versioni aggiornate dei plugin; tuttavia, secondo Jetpack, non sono ancora stati aggiornati i temi interessati.
Indice dei contenuti:
Analisi della backdoor
Questa backdoor consente di prendere il controllo dei siti ed è stata sfruttata principalmente per distribuire spam e malware.
Come possiamo leggere direttamente dal sito ufficiale di Jetpack, il codice malevolo è stato aggiunto al file initial.php che si trova nel plugin pricipale o nella direcotory del tema.
Quando viene eseguito, installa una webshell basata su cookie nel file ./wp-includes/vars.php. la shell viene installata proprio come una funzione davanti a wp_is_mobile()con il nome di wp_is_mobile_fix().
Una volta installata la shell, verrà caricata un’immagine remota dall’URL hxxps://www.wp-theme-connect.com/images/wp-theme.jpg con l’URL del sito infetto e informazioni sul tema utilizzato.
Consigliamo a chiunque abbia installato i plugin direttamente dal sito web AccessPress Themes di scaricare i temi e plugin direttamente da WordPress.org. o aggiornarli immediatamente ad una versione sicura. Il problema non riguarda i componenti AccessPress installati direttamente dalla directory ufficiale di WordPress.org ma, in ogni caso, è meglio installare le versioni corrette.
Temi e plugin WordPress coinvolti
Da una prima analisi emergono i temi coinvolti nella vulnerabilità di seguito elencati. Nel caso utilizzi uno di questi temi, ti consigliamo di migrare a nuove soluzioni.
| Tema | Versione |
| accessbuddy | 1.0.0 |
| accesspress-basic | 3.2.1 |
| accesspress-lite | 2.92 |
| accesspress-mag | 2.6.5 |
| accesspress-parallax | 4.5 |
| accesspress-ray | 1.19.5 |
| accesspress-root | 2.5 |
| accesspress-staple | 1.9.1 |
| accesspress-store | 2.4.9 |
| agency-lite | 1.1.6 |
| aplite | 1.0.6 |
| bingle | 1.0.4 |
| bloger | 1.2.6 |
| construction-lite | 1.2.5 |
| doko | 1.0.27 |
| enlighten | 1.3.5 |
| fashstore | 1.2.1 |
| fotography | 2.4.0 |
| gaga-corp | 1.0.8 |
| gaga-lite | 1.4.2 |
| one-paze | 2.2.8 |
| parallax-blog | 3.1.1574941215 |
| parallaxsome | 1.3.6 |
| punte | 1.1.2 |
| revolve | 1.3.1 |
| ripple | 1.2.0 |
| scrollme | 2.1.0 |
| sportsmag | 1.2.1 |
| storevilla | 1.4.1 |
| swing-lite | 1.1.9 |
| the-launcher | 1.3.2 |
| the-monday | 1.4.1 |
| uncode-lite | 1.3.1 |
| unicon-lite | 1.2.6 |
| vmag | 1.2.7 |
| vmagazine-lite | 1.3.5 |
| vmagazine-news | 1.0.5 |
| zigcy-baby | 1.0.6 |
| zigcy-cosmetics | 1.0.5 |
| zigcy-lite | 2.0.9 |
Stessa cosa per quanto riguarda i plugin: se la versione che utilizzi rientra nella prima colonna ti consigliamo di aggiornarlo alla versione pulita, presente nella seconda colonna.
Ovviamente, i plugin installati tramite WordPress.org sono puliti, anche nel caso rientrino nella prima colonna: consigliamo comunque di effettuare un aggiornamento della versione.
| Plugin | Non sicuro | Sicuro |
| accesspress-anonymous-post | 2.8.0 | 2.8.1 |
| accesspress-custom-css | 2.0.1 | 2.0.2 |
| accesspress-custom-post-type | 1.0.8 | 1.0.9 |
| accesspress-facebook-auto-post | 2.1.3 | 2.1.4 |
| accesspress-instagram-feed | 4.0.3 | 4.0.4 |
| accesspress-pinterest | 3.3.3 | 3.3.4 |
| accesspress-social-counter | 1.9.1 | 1.9.2 |
| accesspress-social-icons | 1.8.2 | 1.8.3 |
| accesspress-social-login-lite | 3.4.7 | 3.4.8 |
| accesspress-social-share | 4.5.5 | 4.5.6 |
| accesspress-twitter-auto-post | 1.4.5 | 1.4.6 |
| accesspress-twitter-feed | 1.6.7 | 1.6.8 |
| ak-menu-icons-lite | 1.0.9 | |
| ap-companion | 1.0.7 | |
| ap-contact-form | 1.0.6 | 1.0.7 |
| ap-custom-testimonial | 1.4.6 | 1.4.7 |
| ap-mega-menu | 3.0.5 | 3.0.6 |
| ap-pricing-tables-lite | 1.1.2 | 1.1.3 |
| apex-notification-bar-lite | 2.0.4 | 2.0.5 |
| cf7-store-to-db-lite | 1.0.9 | 1.1.0 |
| comments-disable-accesspress | 1.0.7 | 1.0.8 |
| easy-side-tab-cta | 1.0.7 | 1.0.8 |
| everest-admin-theme-lite | 1.0.7 | 1.0.8 |
| everest-coming-soon-lite | 1.1.0 | 1.1.1 |
| everest-comment-rating-lite | 2.0.4 | 2.0.5 |
| everest-counter-lite | 2.0.7 | 2.0.8 |
| everest-faq-manager-lite | 1.0.8 | 1.0.9 |
| everest-gallery-lite | 1.0.8 | 1.0.9 |
| everest-google-places-reviews-lite | 1.0.9 | 2.0.0 |
| everest-review-lite | 1.0.7 | |
| everest-tab-lite | 2.0.3 | 2.0.4 |
| everest-timeline-lite | 1.1.1 | 1.1.2 |
| inline-call-to-action-builder-lite | 1.1.0 | 1.1.1 |
| product-slider-for-woocommerce-lite | 1.1.5 | 1.1.6 |
| smart-logo-showcase-lite | 1.1.7 | 1.1.8 |
| smart-scroll-posts | 2.0.8 | 2.0.9 |
| smart-scroll-to-top-lite | 1.0.3 | 1.0.4 |
| total-gdpr-compliance-lite | 1.0.4 | |
| total-team-lite | 1.1.1 | 1.1.2 |
| ultimate-author-box-lite | 1.1.2 | 1.1.3 |
| ultimate-form-builder-lite | 1.5.0 | 1.5.1 |
| woo-badge-designer-lite | 1.1.0 | 1.1.1 |
| wp-1-slider | 1.2.9 | 1.3.0 |
| wp-blog-manager-lite | 1.1.0 | 1.1.2 |
| wp-comment-designer-lite | 2.0.3 | 2.0.4 |
| wp-cookie-user-info | 1.0.7 | 1.0.8 |
| wp-facebook-review-showcase-lite | 1.0.9 | |
| wp-fb-messenger-button-lite | 2.0.7 | |
| wp-floating-menu | 1.4.4 | 1.4.5 |
| wp-media-manager-lite | 1.1.2 | 1.1.3 |
| wp-popup-banners | 1.2.3 | 1.2.4 |
| wp-popup-lite | 1.0.8 | |
| wp-product-gallery-lite | 1.1.1 |
Come proteggere WordPress
WordPress è il CMS più utilizzato sul mercato e, per questo, viene spesso preso di mira dai cyber-criminali. In generale, ci sono alcune piccole accortezze da seguire per proteggere il proprio sito web WordPress. In particolare:
- Usa sempre username e password intelligenti ossia composte da caratteri alfanumerici e simboli;
- Aggiorna la versione di PHP alle ultime release;
- Mantieni aggiornati la versione di WordPress, temi e plugin utilizzati, ossia il core vero e proprio di WordPress che ne determina performance e livello di sicurezza;
- Installa dei plugin per migliorare il livello di sicurezza;
- Effettua backup regolari sul tuo sito web così da avere sempre una copia a disposizione in caso di necessità.
Per approfondire: Tutti i consigli per proteggere WordPress
