Security First

WordPress: scoperta backdoor in temi e plugin

2 minuti lettura
WordPress scoperta backdoor in temi e plugin

In questi giorni i ricercatori di Automattic hanno scoperto che diversi temi e plugin sviluppati da AccessPress sono stati compromessi inserendo backdoor sfruttando quello che possiamo definire supply-chain attack.

Si stima che siano coinvolti circa 360.000 siti basati su WordPress.

L’attacco supply-chain permette di accedere al sito che ospita il software, sostituendo la versione originale con una versione infetta. Il codice della backdoor è presente in 40 temi e 53 plugin di AccessPress: sottolineiamo che le versioni pubblicate nei repository di WordPress.org non sono state compromesse.

Jetpack afferma di aver scoperto questa vulnerabilità a settembre 2021, comunicandola subito a AccessPress che ha risposto con un mese di ritardo dicendo di aver rimosso le estensioni coinvolte. AccessPress ha rilasciato a gennaio le versioni aggiornate dei plugin; tuttavia, secondo Jetpack, non sono ancora stati aggiornati i temi interessati.

Analisi della backdoor

Questa backdoor consente di prendere il controllo dei siti ed è stata sfruttata principalmente per distribuire spam e malware.

Come possiamo leggere direttamente dal sito ufficiale di Jetpack, il codice malevolo è stato aggiunto al file initial.php che si trova nel plugin pricipale o nella direcotory del tema.

Quando viene eseguito, installa una webshell basata su cookie nel file ./wp-includes/vars.php. la shell viene installata proprio come una funzione davanti a wp_is_mobile()con il nome di wp_is_mobile_fix().

analisi backdoor prima fase

Una volta installata la shell, verrà caricata un’immagine remota dall’URL hxxps://www.wp-theme-connect.com/images/wp-theme.jpg con l’URL del sito infetto e informazioni sul tema utilizzato.

analisi backdoor seconda fase

Consigliamo a chiunque abbia installato i plugin direttamente dal sito web AccessPress Themes di scaricare i temi e plugin direttamente da WordPress.org. o aggiornarli immediatamente ad una versione sicura. Il problema non riguarda i componenti AccessPress installati direttamente dalla directory ufficiale di WordPress.org ma, in ogni caso, è meglio installare le versioni corrette.

Temi e plugin WordPress coinvolti

Da una prima analisi emergono i temi coinvolti nella vulnerabilità di seguito elencati. Nel caso utilizzi uno di questi temi, ti consigliamo di migrare a nuove soluzioni.

TemaVersione
accessbuddy1.0.0
accesspress-basic3.2.1
accesspress-lite2.92
accesspress-mag2.6.5
accesspress-parallax4.5
accesspress-ray1.19.5
accesspress-root2.5
accesspress-staple1.9.1
accesspress-store2.4.9
agency-lite1.1.6
aplite1.0.6
bingle1.0.4
bloger1.2.6
construction-lite1.2.5
doko1.0.27
enlighten1.3.5
fashstore1.2.1
fotography2.4.0
gaga-corp1.0.8
gaga-lite1.4.2
one-paze2.2.8
parallax-blog3.1.1574941215
parallaxsome1.3.6
punte1.1.2
revolve1.3.1
ripple1.2.0
scrollme2.1.0
sportsmag1.2.1
storevilla1.4.1
swing-lite1.1.9
the-launcher1.3.2
the-monday1.4.1
uncode-lite1.3.1
unicon-lite1.2.6
vmag1.2.7
vmagazine-lite1.3.5
vmagazine-news1.0.5
zigcy-baby1.0.6
zigcy-cosmetics1.0.5
zigcy-lite2.0.9

Stessa cosa per quanto riguarda i plugin: se la versione che utilizzi rientra nella prima colonna ti consigliamo di aggiornarlo alla versione pulita, presente nella seconda colonna.
Ovviamente, i plugin installati tramite WordPress.org sono puliti, anche nel caso rientrino nella prima colonna: consigliamo comunque di effettuare un aggiornamento della versione.

PluginNon sicuroSicuro
accesspress-anonymous-post2.8.02.8.1
accesspress-custom-css2.0.12.0.2
accesspress-custom-post-type1.0.81.0.9
accesspress-facebook-auto-post2.1.32.1.4
accesspress-instagram-feed4.0.34.0.4
accesspress-pinterest3.3.33.3.4
accesspress-social-counter1.9.11.9.2
accesspress-social-icons1.8.21.8.3
accesspress-social-login-lite3.4.73.4.8
accesspress-social-share4.5.54.5.6
accesspress-twitter-auto-post1.4.51.4.6
accesspress-twitter-feed1.6.71.6.8
ak-menu-icons-lite1.0.9
ap-companion1.0.7
ap-contact-form1.0.61.0.7
ap-custom-testimonial1.4.61.4.7
ap-mega-menu3.0.53.0.6
ap-pricing-tables-lite1.1.21.1.3
apex-notification-bar-lite2.0.42.0.5
cf7-store-to-db-lite1.0.91.1.0
comments-disable-accesspress1.0.71.0.8
easy-side-tab-cta1.0.71.0.8
everest-admin-theme-lite1.0.71.0.8
everest-coming-soon-lite1.1.01.1.1
everest-comment-rating-lite2.0.42.0.5
everest-counter-lite2.0.72.0.8
everest-faq-manager-lite1.0.81.0.9
everest-gallery-lite1.0.81.0.9
everest-google-places-reviews-lite1.0.92.0.0
everest-review-lite1.0.7
everest-tab-lite2.0.32.0.4
everest-timeline-lite1.1.11.1.2
inline-call-to-action-builder-lite1.1.01.1.1
product-slider-for-woocommerce-lite1.1.51.1.6
smart-logo-showcase-lite1.1.71.1.8
smart-scroll-posts2.0.82.0.9
smart-scroll-to-top-lite1.0.31.0.4
total-gdpr-compliance-lite1.0.4
total-team-lite1.1.11.1.2
ultimate-author-box-lite1.1.21.1.3
ultimate-form-builder-lite1.5.01.5.1
woo-badge-designer-lite1.1.01.1.1
wp-1-slider1.2.91.3.0
wp-blog-manager-lite1.1.01.1.2
wp-comment-designer-lite2.0.32.0.4
wp-cookie-user-info1.0.71.0.8
wp-facebook-review-showcase-lite1.0.9
wp-fb-messenger-button-lite2.0.7
wp-floating-menu1.4.41.4.5
wp-media-manager-lite1.1.21.1.3
wp-popup-banners1.2.31.2.4
wp-popup-lite1.0.8
wp-product-gallery-lite1.1.1

Come proteggere WordPress

WordPress è il CMS più utilizzato sul mercato e, per questo, viene spesso preso di mira dai cyber-criminali. In generale, ci sono alcune piccole accortezze da seguire per proteggere il proprio sito web WordPress. In particolare:

  • Usa sempre username e password intelligenti ossia composte da caratteri alfanumerici e simboli;
  • Aggiorna la versione di PHP alle ultime release;
  • Mantieni aggiornati la versione di WordPress, temi e plugin utilizzati, ossia il core vero e proprio di WordPress che ne determina performance e livello di sicurezza;
  • Installa dei plugin per migliorare il livello di sicurezza;
  • Effettua backup regolari sul tuo sito web così da avere sempre una copia a disposizione in caso di necessità.

Per approfondire: Tutti i consigli per proteggere WordPress

Foto Manager Elena Parise
90 articoli

Note sull'autore
Marketing Assistant - Appassionata di scrittura e social media, crede fortemente nell’influenza positiva del digitale e della comunicazione nella vita quotidiana. In Shellrent supporta le imprese nell’identificazione delle soluzioni più adatte in materia di hosting, cloud e infrastrutture IT.
Articoli
Articoli correlati
Security First

Cos’è e come funziona un attacco brute force

3 minuti lettura
Esistono diversi attacchi cyber che possono compromettere il funzionamento dei siti web. Tra questi, il brute force è uno dei più frequenti e…
Security First

Cos'è un "trojan horse" e come difendersi dal malware

4 minuti lettura
Nel corso degli anni, la sicurezza informatica ha acquisito un’importanza sempre più centrale. Una delle minacce più diffuse nel settore è il…
Security First

Come verificare se un indirizzo IP è in blacklist e come rimuoverlo

3 minuti lettura
Se i messaggi di posta elettronica non raggiungono i destinatari, una delle prime ipotesi da prendere in considerazione è la possibilità che…