Sempre più spesso leggiamo online di attacchi hacker a 360 gradi e sembra proprio che, negli ultimi mesi, ci sia in corso una vera e propria guerra digitale.
Ma cosa è successo a oltre 84 mila siti web? Perché è stato lanciato un allarme preventivo?
Parliamo, in questo caso, di Ransomware Gang ossia di uno specifico tipo di malware (software dannoso) utilizzato dai criminali informatici. Come possiamo leggere direttamente sul sito ufficiale di Kaspersky, uno dei più famosi antivirus in commercio, “quando un computer o una rete è stato infettato da un ransomware, il ransomware blocca l’accesso al sistema o ne crittografa i dati. I criminali informatici chiedono un riscatto dalle loro vittime in cambio del rilascio dei dati”. (Fonte kaspersky.com).
Tre plugin WordPress sono infestati dallo stesso bug
Come ci spiega Claudio Ventre, responsabile della sicurezza online della web agency Linkware di Torino, i criminali informatici attaccano sempre in massa e gli hacker lanciano questi attacchi online andando a colpire quasi sempre i CMS più utilizzati al mondo, e tra questi c’è certamente WordPress.
Un team di ricercatori internazionali hanno scoperto le vulnerabilità di WordPress che possono consentire l’acquisizione del sito completo in login e componenti aggiuntivi di e-commerce per la popolare piattaforma di costruzione di siti web realizzati con WooCommerce.
Nello specifico Ventre ci segnala che sono stati scoperti tre plugin di WordPress con la stessa vulnerabilità che permette ad un hacker esperto di aggiornare le opzioni arbitrarie del sito su un sito vulnerabile e prenderne completamente il controllo.
Insomma i criminali informatici riescono a sfruttare una falla andando ad utilizzare un’azione specifica che normalmente viene gestita dall’amministratore del sito.
Lo studio di questa “guerra digitale” parte da lontano ma negli ultimi mesi si è sempre più intensificato tanto che il 5 novembre 2021, il team di Wordfence Threat Intelligence ha iniziato un processo per rivelare una vulnerabilità che i ricercatori avevano trovato in “Login/Signup Popup”, un plug-in WordPress installato su più di 20.000 siti.
Tuttavia, pochi giorni dopo hanno scoperto che la falla era presente in altri due plugin dello stesso sviluppatore, che va sotto il nome online di XootiX. Sono “Side Cart Woocommerce (Ajax)”, che è stato installato su più di 60.000 siti, e “Waitlist Woocommerce (Back in stock notifier)”, che è stato installato su più di 4.000.
L’unica notizia positiva è che in questi ultimi giorni tutti i plug-in sono stati aggiornati e la falla rattoppata, ma tuttavia, la scoperta delle molteplici occorrenze del bug riflette un problema in corso con i plug-in di WordPress che sono pieni di bug e vulnerabilità.
Come funziona il bug di WordPress
La vulnerabilità trovata dal team di Wordfence è abbastanza semplice visto che tutti e tre i plug-in registrano la funzione save_settings, che viene avviata tramite un’azione wp_ajax.
La cosa più pericolosa, come ben si capisce, è che un hacker, da qualsiasi parte del mondo sia, con un computer può creare una richiesta che inneschi l’azione AJAX ed esegua la funzione, il tutto con una facilità disarmante paragonabile alla semplicità di cliccare su un link o navigare su un certo sito web.
Sfruttare le vulnerabilità di aggiornamento delle opzioni arbitrarie in questo modo è qualcosa di cui gli hacker “abusano frequentemente”, permettendo loro di aggiornare qualsiasi opzione su un sito WordPress e alla fine prenderne il controllo.
Quali sono i rischi di un attacco hacker ad un sito web e come prevenirli
Anche se il fatto che le falle trovate nei plug-in richiedono l’azione dell’amministratore e per questo motivo sulla carta le rende “meno probabili da sfruttare”, possono comunque avere un impatto significativo se vengono sfruttate.
Ecco perché come ci dice Ventre quando navighiamo online, oltre ad avere un antivirus a pagamento sempre aggiornato e che scannerizzi l’intero computer più volte al giorno, bisogna sempre avere gli occhi aperti e mantenere questo atteggiamento è importante soprattutto quando si fa clic su link o allegati.
Un altro comportamento che bisogna sempre adottare è quello di assicurarsi di mantenere regolarmente aggiornati i vostri plug-in e temi, a prescindere dal CMS che si utilizza.
Ventre, proprio perché è un esperto di WordPress e WooCommerce raccomanda tutta una serie di azioni da ripetere con continuità nell’arco del mese.
Le azioni raccomandate per gli utenti di WordPress che utilizzano i plug-in sono di verificare che il loro sito sia sempre aggiornato all’ultima versione patchata disponibile per ciascuno di essi.
E nel caso specifico dei plugin sopra citati sarebbe (al momento in cui scriviamo questo articolo) la versione 2.3 per “Login/Signup Popup”, la versione 2.5.2 per “Waitlist Woocommerce (Back in stock notifier)”, e la versione 2.1 per “Side Cart Woocommerce (Ajax)”, secondo il post.
C’è da dire che tutti gli utenti di Wordfence sono protetti contro la vulnerabilità e che gli utenti di Wordfence Premium hanno ricevuto un aggiornamento del firewall per proteggersi da eventuali attacchi degli ultimi mesi.
Quindi come abbiamo scritto più volte bisogna sempre stare con gli occhi aperti soprattutto quando ci sono dei disservizi su WhatsApp, Instagram e Facebook e proteggersi dalle truffe digitali e frodi sul web.
