Aggiornamenti recenti Gennaio 13th, 2025 2:00 PM
Mag 24, 2018 Marco Schiaffino Attacchi, Malware, News, RSS 1
Non è una vulnerabilità, ma una nuova tecnica di attacco che potrebbe mettere a rischio migliaia di siti Internet gestiti attraverso WordPress. Secondo WordFence, infatti, ci sono già gruppi di cyber-criminali che la stanno sfruttando attivamente.
Ma di cosa si tratta e perché avrebbe effetti così devastanti? Per capirlo è necessario fare un passo indietro e concentrare l’attenzione sulla struttura stessa dell’ecosistema WordPress e su un particolare modulo chiamato Jetpack.
Pur essendo un progetto open source, WordPress ha una doppia natura. La più conosciuta è WordPress.org, che consente di creare e gestire in autonomia un sito Internet usando il popolare Content Management System. Esiste però anche una versione professionale, chiamata WordPress.com.
È gestito da Automattic, una società creata da uno dei co-fondatori di WordPress, che offre una versione “personalizzata” del CMS e vende piani di hosting per siti commerciali.
È stata proprio il gruppo di sviluppatori attivi all’interno di Automattic a creare Jetpack, un plugin inizialmente pensato per gestire gli analytics che poi si è evoluto in una sorta di “coltellino svizzero” per WordPress. Qualche anno fa, il plugin è stato messo a disposizione anche per gli utenti “free” di WordPress.org.
Una delle funzioni del plugin è quella che permette di collegare qualsiasi sito “free” a un account di WordPress.com per consentire all’amministratore di gestire tutti i siti più facilmente attraverso il sistema di controllo messo a disposizione dal servizio a pagamento. In pratica si tratta di un sistema centralizzato pensato per chi deve amministrare numerosi siti.
A quanto pare, però, rappresenta anche una vera manna per i pirati informatici, che hanno trovato in questo strumento un veicolo di attacco estremamente efficace.
Stando a quanto riportano i ricercatori, i cyber-criminali si stanno infatti impegnando attivamente per violare gli account WordPress.com e utilizzarli per diffondere un plugin malevolo su tutti i siti controllati da quell’account attraverso Jetpack.
Come specificano sulle pagine del sito di WordPress.org, gli attacchi non sono la conseguenza di una violazione dei sistemi di Automattic, ma vengono portati attraverso tecniche di brute forcing o tentativi di hackeraggio “manuali”, che utilizzano per esempio stock di password rubate e messe in vendita sul Dark Web.
Il plugin infetto, secondo i ricercatori di WordFence, è una variante di altri malware simili visti in precedenza e ha una particolarità: quando è attivo, non viene visualizzato nell’elenco dei plugin installati sul CMS. L’amministratore del sito, quindi, non ha chance di individuarlo con un semplice controllo “a vista”.
Il suo obiettivo è duplice. Per prima cosa crea delle backdoor nel sito che permettono ai pirati di avere un (ulteriore) accesso garantito come amministratori del sito.
Come secondo passaggio, inserisce all’interno di index.php una porzione di codice (opportunamente offuscata) che esegue un reindirizzamento dei visitatori su pagine Web controllate dai pirati informatici.
Il tutto avviene utilizzando un sistema che modifica gli indirizzi Internet dei siti di destinazione con una elevatissima frequenza (una volta al minuto) e impiegando un dominio come passaggio intermedio per rendere più difficile il tracciamento dei siti malevoli.
Le raccomandazioni dei ricercatori per bloccare il fenomeno sono rivolte agli utenti WordPress.com e, trattandosi in ogni caso di episodi di furto di account, sono sempre le solite: usare password complesse e attivare (se non lo si è già fatto) il sistema di autenticazione a due fattori.
Nov 18, 2024 0
Ott 15, 2024 0
Set 09, 2024 0
Giu 25, 2024 0
Gen 13, 2025 0
Gen 13, 2025 0
Gen 09, 2025 0
Gen 08, 2025 0
Gen 08, 2025 0
Se finora l’FBI e il governo degli Stati Uniti ha...Gen 02, 2025 0
Oggi le aziende italiane non solo devono affrontare nuove e...Dic 31, 2024 0
Negli ultimi anni gli attacchi zero-day nei dispositivi...Dic 30, 2024 0
Nonostante gli sforzi per redigere e consegnare i report...Dic 23, 2024 0
Tempo di bilanci di fine anno anche per il mondo della...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Gen 13, 2025 0
I ricercatori di Check Point Research hanno studiato una...Gen 13, 2025 0
Nel corso della settimana, il CERT-AGID ha rilevato e...Gen 09, 2025 0
Di recente è emersa una nuova campagna di phishing che...Gen 08, 2025 0
Se finora l’FBI e il governo degli Stati Uniti ha...Gen 07, 2025 0
Lo scorso venerdì Moxa, provider di reti industriali, ha...
One thought on “Attacchi massicci ai siti WordPress sfruttano il modulo Jetpack”