Nuovi rischi sicurezza per WordPress
Pochi giorni fa ZDNet ha comunicato i risultati di un rapporto realizzato dagli esperti di sicurezza di WordFence. Nel rapporto si evidenzia come il più grande problema di sicurezza di questo periodo, per quanto riguarda WordPress, sia una minaccia malware che è stata denominata WP-VCD, dal nome del gruppo che ne è responsabile.
WP-VCD non utilizza vulnerabilità di WordPress per inserirsi in un sito ed installare una backdoor. Usa invece quella che attualmente è la più grande falla di sicurezza esistente: il fattore umano. Nel caso specifico tramite temi e plugin infettati che vengono distribuiti in maniera illegale su una serie di siti. Sono componenti che normalmente vengono venduti sui siti ufficiali (ad esempio ThemeForest e CodeCanyon), che invece vengono resi disponibili in forma gratuita, con il piccolo inconveniente di essere bacati.
Una volta installato, il malware hackera istantaneamente il sito WordPress creando un utente dal nome 100010010, che quindi permette l’accesso al sito tramite un account perfettamente valido.
Il codice contenuto inserisce una copia di se stesso in tutti i temi presenti, così che se per caso il tema attivo viene cambiato, il malware continuerà a svolgere il suo lavoro.
Nel caso il sistema si trovi su un sistema che condivide lo spazio con altri siti, anche questi vengono infettati.
Il risultato di questa infezione è che viene creata una rete di siti hackerati controllata centralmente, grazie alla quale vengono inseriti link che aumentano la visibilità dei dominii che diffondono il malware (rendendo più forte e autorevole la stessa rete), e utilizzando i siti infettati per la visualizzazione di pubblicità, cosa che garantisce un ritorno economico ai cybercriminali.
Quali sono i siti da evitare ?
Vengono indicati questi, ma immagino che ce ne siano altri ancora.
www.download-freethemes.download
www.downloadfreethemes.co
www.downloadfreethemes.space
www.downloadnulled.pw
www.downloadnulled.top
www.freenulled.top
www.nulledzip.download
www.themesfreedownload.net
www.themesfreedownload.top
www.vestathemes.com
Il messaggio che deve risultare da questa storia è che i gestori di siti WordPress (ma la cosa si può estendere con le opportune variazioni sul tema) devono essere consapevoli che quando qualcosa viene fornito gratuitamente, allora loro stessi sono il prodotto.
Naturalmente ciò non è sempre vero, fortunatamente esistono ancora ambiti nel web in cui la condivisione è scevra da interessi di malintenzionati e riflette lo spirito con cui è nato.