Durante un approfondimento relativo ad una possibile attività maligna su WordPress, i ricercatori di sicurezza Automattic hanno scoperto un problema ben più preoccupante. Si è scoperto, infatti, come tutte le produzioni AccessPress Themes (temi e plugin) sono stati violati e i loro prodotti sono pertanto diventati possibili arieti per i malintenzionati che son riusciti a metterci su le mani.
WordPress, plugin e temi violati
Il problema sarebbe grave per due motivi: il codice inoculato consentirebbe di prendere pieno controllo di un sito Web violato ed i siti coinvolti sarebbero oltre 350 mila (oltre 90 i temi vulnerabili). Le indagini hanno portato ad immediate conferme: la violazione sarebbe avvenuta fin dallo scorso mese di settembre all’insaputa del gruppo colpito – e usato come tramite per nuovi ed ulteriori attacchi.
Per quanto riguarda i plugin, i codici sono stati ripuliti e con un semplice update il problema è risolto. Chi ha invece adottato uno dei temi AccessPress, non può far altro che cambiare tema ed evitare di lasciare in piedi la vulnerabilità sul proprio sito. Secondo l’analisi Sucuri, la violazione sarebbe monetizzata dai malintenzionati attraverso redirect su siti appositamente progettati per truffe o altri tentativi truffaldini.
Per capire se si è rimasti coinvolti dal problema, è sufficiente analizzare il file wp-includes/vars.php: se si riscontra una funzione “wp_is_mobile_fix” con alcuni codici offuscati, allora la compromissione è avvenuta ed è necessario intervenire per eliminare la pericolosa backdoor evidentemente presente. In tal caso ogni istruzione è disponibile sull’apposita pagina.