Attenzione, utenti WordPress: un plugin molto diffuso è stato hackerato dal 2020. Il Quick Page/Post Redirect, installato su oltre 70.000 siti attivi, nasconde una backdoor che inietta codice malevolo senza farsi notare. Soluzione rapida: verifica i file del plugin e disinstallalo immediatamente, sostituendolo con alternative sicure e aggiornate. Questo attacco alla supply chain mette a rischio la sicurezza di migliaia di siti, permettendo SEO parassitario e esecuzione remota di codice.
Il problema è stato scoperto da un ricercatore di sicurezza durante controlli di routine. Anche se il tuo sito sembra aggiornato alla versione 5.2.3, i file potrebbero essere stati alterati. Non aspettare: usa lo strumento WP-CLI per controllare gli hash dei file contro quelli ufficiali del repository WordPress. Se non corrispondono, rimuovi il plugin per evitare compromissioni.
Questa minaccia è subdola perché si attiva solo per visitatori normali e crawler dei motori di ricerca, nascondendosi agli amministratori loggati. Il server di comando è offline, ma il meccanismo di aggiornamento resta attivo e potrebbe riattivarsi in qualsiasi momento. Proteggi il tuo sito oggi stesso per prevenire furti di dati o attacchi futuri.
Dettagli dell’attacco
L’indagine ha rivelato un compromesso sofisticato iniziato nel 2020. Il plugin utilizza un checker di aggiornamenti personalizzato che si connette a un server controllato dall’attaccante, bypassando i controlli ufficiali di WordPress. Questo permette di spingere aggiornamenti malevoli con privilegi amministrativi completi.
La backdoor attiva è integrata in una libreria di controllo aggiornamenti, mentre quella passiva recupera contenuti nascosti da un server remoto e li inietta nelle pagine del sito. Il codice malevolo evade i rilevatori tradizionali spoofando i numeri di versione, rendendo inutili molti scanner di vulnerabilità.
L’autore originale del plugin ha commesso il codice malevolo direttamente nel repository ufficiale alla fine del 2020, propagandolo a migliaia di installazioni. Successivamente, ha distribuito payload alterati dal suo server privato e rimosso il updater personalizzato dal codice sorgente ufficiale, cancellando le tracce evidenti ma lasciando i siti infetti collegati alla sua infrastruttura.
A causa di questa scoperta, il plugin è stato temporaneamente rimosso dal directory WordPress in attesa di indagini complete. Gli amministratori sono invitati a passare a plugin alternativi mantenuti attivamente.
Perché questo è un rischio grave per il tuo sito
Gli attacchi alla supply chain come questo sono particolarmente pericolosi perché sfruttano la fiducia negli aggiornamenti automatici. Immagina il tuo sito che visualizza contenuti nascosti per i tuoi visitatori: link spam per SEO parassitario, furto di dati o peggio, esecuzione di script malevoli che compromettono l’intero server.
Anche se il server C2 è inattivo ora, il potenziale per una riattivazione rende ogni installazione una bomba a orologeria. Con oltre 70.000 siti colpiti, l’impatto è enorme: dal piccolo blog al sito e-commerce, nessuno è immune.
Azioni immediate consigliate:
- Esegui
wp plugin verify-checksums quick-pagepost-redirectvia WP-CLI. - Se gli hash non corrispondono, disinstalla e cancella manualmente i file.
- Installa alternative come Redirection o Safe Redirect Manager.
- Abilita aggiornamenti automatici solo per plugin fidati.
- Usa un firewall come Wordfence o Sucuri per monitorare attività sospette.
Questi passi semplici possono salvare il tuo sito da danni irreparabili. Ricorda: la sicurezza WordPress richiede vigilanza costante.
Approfondimento tecnico
Meccanismo della backdoor
La backdoor primaria è un updater remoto custom che pollisce un server terzo invece dell’infrastruttura WordPress. Configurato con privilegi elevati, scarica e esegue payload arbitrari. Ecco un flusso semplificato:
- Il plugin chiama la funzione di update checker.
- Richiede versione/payload a
malicious-server.com. - Inietta il contenuto restituito nelle pagine via hook WordPress (es.
wp_headothe_content). - Nasconde l’iniezione con controlli come
!is_user_logged_in() && !is_admin().
Il payload secondario è dormiente: fetcha contenuti da C2 e li renderizza come div nascosti (display:none), visibili solo a crawler (User-Agent matching Googlebot, ecc.).
Analisi commit history
Esaminando il repository Git, il commit malevolo (fine 2020) introduce la libreria updater modificata. Un update successivo rimuove il codice sospetto, ma le installazioni esistenti mantengono il tether al server attaccante.
Verifica checksum
Usa WP-CLI:
wp plugin verify-checksums quick-pagepost-redirect
Output di mismatch indica tampering. Confronta hash con https://downloads.wordpress.org/plugin/quick-pagepost-redirect.5.2.3.zip.
Mitigazioni avanzate
- File integrity monitoring: Implementa tool come Tripwire o OSSEC.
- Sandboxing: Esegui plugin in container Docker isolati.
- Audit logging: Abilita
WP_DEBUG_LOGe monitorawp_optionsper chiavi sospette. - Network segmentation: Blocca outbound connections da plugin a domini non whitelisted.
Impatto supply chain
Questo caso evidenzia vulnerabilità nei review process di WordPress.org. Spoofing version numbers ($version = '5.2.3'; ma file alterati) inganna scanner come WPScan. Raccomanda audit manuali periodici e uso di plugin da autori con track record solido.
Per sviluppatori: integra wp_remote_get con nonce verification e rate limiting. Evita librerie terze per update checker; usa API ufficiali.
Statistiche e contesto
Oltre 70.000 installazioni attive al momento della scoperta. Attacchi simili (es. altri plugin backdoored) colpiscono il 10-15% del ecosistema WP. Mantieni core, temi e plugin aggiornati, ma verifica sempre integrity.
Questa analisi tecnica fornisce gli strumenti per diagnosticare e rimediare. Per esperti, esplora il codice sorgente su GitHub mirror per comprendere fully i vettori di attacco.
Fonte: https://cybersecuritynews.com/wordpress-plugin-hacked/
