Gli esperti di Wordfence hanno rilevato un attacco in corso contro oltre 1,6 milioni di siti WordPress e provenienti da oltre 16.000 indirizzi IP. I cybercriminali hanno sfruttato le vulnerabilità presenti in quattro plugin e quindici temi Epsilon Framework per assumere il ruolo di amministratore e quindi prendere il controllo del sito. È necessario installare gli aggiornamenti al più presto o rimuovere plugin e temi non utilizzati.
Siti WordPress: attenzione a plugin e temi
Gli attacchi sono iniziati il 7 dicembre. I sistemi di Wordfence ha rilevato quasi 14 milioni di attacchi fino al 9 dicembre. Sfruttando le vulnerabilità di quattro plugin e quindici temi, i cybercriminali hanno attivato l’opzione users_can_register
e impostato l’opzione default_role
a “administrator“. In questo modo possono effettuare la registrazione al sito e diventare amministratori.
Questi sono i plugin e le versioni vulnerabili:
- PublishPress Capabilities <= 2.3
- Kiwi Social Plugin <= 2.0.10
- Pinterest Automatic <= 4.14.3
- WordPress Automatic <= 3.53.2
Questi sono invece i temi Epsilon Framework vulnerabili:
- Shapely <=1.2.8
- NewsMag <=2.4.1
- Activello <=1.4.1
- Illdy <=2.1.6
- Allegiant <=1.2.5
- Newspaper X <=1.3.1
- Pixova Lite <=2.0.6
- Brilliance <=1.2.9
- MedZone Lite <=1.2.5
- Regina Lite <=2.0.5
- Transcend <=1.1.9
- Affluent <1.1.0
- Bonkers <=1.0.5
- Antreas <=1.0.6
Per il tema NatureMag Lite non è stato rilasciato l’aggiornamento che risolve la vulnerabilità, quindi è fortemente consigliata la sua disinstallazione.
I proprietari dei siti devono controllare ed eventualmente cancellare ogni account sospetto. Inoltre nelle impostazioni generali di WordPress non deve essere spuntata la casella “Chiunque può registrarsi” e deve essere scelto correttamente il ruolo predefinito per i nuovi utenti (ovviamente mai scegliere amministratore).