Oltre 1.000 siti WordPress infettati con backdoor JavaScript

L’attacco hacker che ha colpito oltre 1.000 siti WordPress

Un nuovo e preoccupante attacco hacker ha recentemente preso di mira la popolare piattaforma WordPress, compromettendo oltre 1.000 siti web con l’inserimento di codice JavaScript malevolo. Questo attacco su larga scala, scoperto dai ricercatori di sicurezza di c/side, evidenzia ancora una volta quanto sia cruciale mantenere elevati standard di sicurezza per i siti web basati su WordPress.

Le caratteristiche dell’attacco

L’attacco si distingue per la sua complessità e per l’utilizzo di multiple backdoor, progettate per garantire agli hacker diversi punti di accesso ai siti compromessi. In particolare, sono state identificate quattro distinte backdoor:

1. Una backdoor che installa un falso plugin chiamato “Ultra SEO Processor”, utilizzato per eseguire comandi remoti.
2. Una backdoor che inietta JavaScript malevolo nel file wp-config.php.
3. Una backdoor che aggiunge una chiave SSH controllata dagli attaccanti al file ~/.ssh/authorized_keys.
4. Una backdoor progettata per eseguire comandi remoti e scaricare ulteriori payload da un dominio esterno.

La diffusione dell’infezione

Il codice JavaScript malevolo viene servito attraverso il dominio cdn.csyndication[.]com. Al momento della scoperta, ben 908 siti web contenevano riferimenti a questo dominio, indicando una vasta diffusione dell’attacco.

Implicazioni per la sicurezza

Questo attacco mette in luce diverse vulnerabilità critiche nell’ecosistema WordPress:

1. Aggiornamenti trascurati: Molti siti colpiti probabilmente utilizzavano versioni obsolete di WordPress o di plugin, facilitando l’accesso agli hacker.
2. Sicurezza dei plugin: La dipendenza da plugin di terze parti aumenta la superficie di attacco, specialmente se questi non vengono regolarmente aggiornati.
3. Monitoraggio inadeguato: La mancanza di un monitoraggio costante può portare a infezioni non rilevate per lunghi periodi.

Come proteggere il tuo sito WordPress

Alla luce di questo attacco, è fondamentale adottare misure proattive per proteggere i siti WordPress. Ecco alcune best practice essenziali:

1. Mantieni tutto aggiornato

• Aggiorna regolarmente WordPress, tutti i temi e i plugin installati.
• Attiva gli aggiornamenti automatici quando possibile.
• Rimuovi plugin e temi non utilizzati.

2. Implementa una solida politica di password

• Usa password complesse e uniche per tutti gli account.
• Implementa l’autenticazione a due fattori (2FA) per tutti gli utenti.
• Cambia regolarmente le password, specialmente dopo sospette violazioni.

3. Limita i privilegi degli utenti

• Assegna i privilegi di amministratore solo quando strettamente necessario.
• Rivedi regolarmente i permessi degli utenti e revoca l’accesso quando non più necessario.

4. Utilizza plugin di sicurezza affidabili

• Installa e configura un plugin di sicurezza WordPress rinomato come Wordfence o Sucuri.
• Esegui scansioni regolari per malware e vulnerabilità.

5. Implementa il monitoraggio attivo

• Configura alert per attività sospette sul tuo sito.
• Monitora i log di accesso e le modifiche ai file critici.

6. Effettua backup regolari

• Esegui backup completi del tuo sito su base regolare.
• Archivia i backup in una posizione sicura, separata dal tuo hosting.

7. Utilizza un Web Application Firewall (WAF)

• Implementa un WAF per filtrare il traffico malevolo prima che raggiunga il tuo sito.
• Configura regole personalizzate per bloccare attacchi noti.

8. Hardening del server

• Configura correttamente le impostazioni del server web (Apache, Nginx).
• Disabilita funzionalità non necessarie e restringe i permessi dei file.

9. Educa il tuo team

• Forma regolarmente il tuo team sulle best practice di sicurezza.
• Crea e mantieni aggiornate le procedure di risposta agli incidenti.

Cosa fare se il tuo sito è stato compromesso

Se sospetti che il tuo sito WordPress sia stato compromesso, ecco i passi da seguire:

1. Isola il sito: Metti il sito in modalità manutenzione per prevenire ulteriori danni.
2. Cambia tutte le password: Modifica immediatamente tutte le credenziali, incluse quelle di WordPress, FTP, database e hosting.
3. Scansiona per malware: Utilizza strumenti affidabili per identificare e rimuovere il codice malevolo.
4. Ripristina da un backup pulito: Se disponibile, ripristina il sito da un backup precedente all’infezione.
5. Aggiorna tutto: Assicurati che WordPress, temi e plugin siano all’ultima versione disponibile.
6. Verifica i permessi dei file: Controlla e correggi i permessi dei file per limitare l’accesso non autorizzato.
7. Rimuovi utenti sospetti: Elimina qualsiasi account utente che non riconosci.
8. Implementa misure di sicurezza aggiuntive: Considera l’implementazione di soluzioni di sicurezza più robuste.
9. Monitora attentamente: Dopo il ripristino, monitora il sito per eventuali segni di attività sospetta.

L’attacco che ha colpito oltre 1.000 siti WordPress sottolinea l’importanza di una sicurezza proattiva e di una gestione attenta dei siti web. La natura in continua evoluzione delle minacce informatiche richiede vigilanza costante e l’adozione di best practice di sicurezza aggiornate.

Ricorda che la sicurezza di un sito web non è un obiettivo una tantum, ma un processo continuo. Investire tempo e risorse nella sicurezza del tuo sito WordPress non solo protegge i tuoi dati e quelli dei tuoi utenti, ma preserva anche la reputazione del tuo brand online.

Mantieniti informato sulle ultime minacce, aggiorna regolarmente le tue difese e non esitare a consultare esperti di sicurezza se necessario. Con l’approccio giusto, puoi significativamente ridurre il rischio di cadere vittima di attacchi simili in futuro.

Fonte: https://thehackernews.com/2025/03/over-1000-wordpress-sites-infected-with.htm