WordPress, piattaforma nota per la creazione di siti, consigliata anche dai nostri amici di Privacytools.io perché è una piattaforma di blogging che, nel bene o nel male, rispetta la privacy, si è ritrovata con 15000 siti compromessi.
Una nuova campagna hacker malevola ha compromesso oltre 15.000 siti Web della piattaforma nel tentativo di reindirizzare i visitatori a portali fasulli di “botta e risposta” (verso qualcosa di simile a Reddit o Ask, o al vecchio Yahoo! Answers, per carpici, ma dannoso).
Tramite questo link puoi vedere la lista di tutti i siti compromessi.
Cosa comporta questo ai vari siti WordPress?
“Questi reindirizzamenti dannosi sembrano essere [stati] progettati per aumentare l’autorità dei siti dei malitenzionati per i motori di ricerca [sostanzialmente essere più facilmente tracciabili tramite SEO, parole chiave, insomma]“, ha detto il ricercatore di Sucuri Ben Martin in un rapporto pubblicato la scorsa settimana, definendolo un “trucco SEO intelligente“.
La tecnica di “infettare” il motore di ricerca è stata progettata per promuovere una “manciata di falsi siti di domande e risposte di bassa qualità” (una sorta di Ask o Reddit tarocchi) che condividono modelli di creazione di siti Web simili e sono gestiti dallo stesso autore poco ben intenzionato.
Un aspetto curioso della campagna è la capacità degli hacker di modificare in media oltre 100 file per sito Web, un approccio che contrasta notevolmente con altri attacchi di questo tipo in cui solo un numero limitato di file viene manomesso per ridurre il footprint e sfuggire al rilevamento.
Alcune delle pagine più comunemente infette sono costituite da wp-signup.php, wp-cron.php, wp-links-opml.php, wp-settings.php, wp-comments-post.php, wp-mail.php, xmlrpc .php, wp-activate.php, wp-trackback.php e wp-blog-header.php, che di fatto sono tutte tipologie di pagine molto presenti su siti fatti con WordPress.
Questa vasta varietà di siti compromessi consente al malware di eseguire i reindirizzamenti ai siti Web scelti dall’hacker. Vale la pena evidenziare che i reindirizzamenti non si verificano se è presente il cookie wordpress_logged_in o se la pagina corrente è wp-login.php (ovvero la pagina di login) per evitare agli autori della minaccia di destare sospetti.
L’obiettivo finale della campagna è “indirizzare più traffico verso i loro siti fasulli” e “aumentare l’autorità [ovverosia privilegi da amministratori] dei siti utilizzando falsi clic sui risultati di ricerca per fare in modo che Google li classifichi meglio in modo che ottengano più traffico di ricerca organico reale“.
Il codice inserito dall’algoritmo ottiene questo risultato avviando un reindirizzamento a un’immagine PNG ospitata su un dominio denominato “ois[.]is” che, invece di caricare un’immagine come dovrebbe, indirizza il visitatore del sito Web all’URL di un risultato di ricerca di Google di un qualche altro sito di domande e risposte spam.
Non è ancora chiaro in che modo i siti WordPress siano stati violati e Sucuri ha affermato di non aver notato alcun evidente difetto del plug-in sfruttato per eseguire la campagna.
Se hai un sito WordPress, come ti devi comportare?
Or come ora, non è affatto chiaro come abbiano fatto a “bucare” la piattaforma WordPress, pertanto si sospetta che sia stato un attacco Brute Force (forza bruta), quell’attacco che prova tutte le combinazioni affinché non becca quella giusta.
Quali precauzioni prendere, quindi? Tanto per cominciare, cambia subito la tua password con una i più complicata possibile, non metterne una facilmente trovabile.
Secondariamente, è assolutamente essenziale che gli utenti abilitino l’autenticazione a due fattori e assicurino che tutto il comparto programmi (e sistemi operativi) sia aggiornato ed eventualmente fare un back up dei propri siti e blog.
Per il resto, bisogna solo aspettare che ai piani alti della piattaforma che permette di creare siti e blog sistemino questa “breccia”.