Non c’è pace per chi si occupa di gestire la sicurezza dei siti WordPress, e gli attacchi si fanno sempre più serrati e frequenti, mettendo a dura prova sia gli sviluppatori, costretti a continui aggiornamenti e revisioni, sia i webmaster e tutti coloro che gestiscono i siti, ma anche le aziende che hanno creato plugin dedicati proprio alla sicurezza di WordPress, come Wordfence. Proprio quest’ultima ha appena pubblicato un articolo dove si parla di una nuova piattaformaCon questo termine si indica un ambiente digitale, per esempio uno sistema operativo assieme all’hardware che lo ospita, oppure un portale online che eroga servizi. utilizzata dai pirati informatici per tentare di penetrare nei siti WordPress e infettarli con codiceVedi programma malevolo o altro. Ho chiesto l’autorizzazione al sito ufficiale per tradurre e mettere a disposizione di tutti gli utenti italiani di WordPress che non conoscono abbastanza l’inglese per consultare l’articolo originale, trovate di seguito il testo, il cui originale è intitolato “An Attack Platform Infecting WordPress Sites” e contiene anche un video dimostrativo dove sono appunto mostrati alcuni esempi di attacco informatico a WordPress.
Una piattaforma di attacco per infettare i siti WordPress
Il team di Wordfence si ritrova spesso a indagare sui siti dei clienti che sono stati infettati con l’obiettivo di aumentare l’impegno nella ricerca e sviluppo e offrire un servizio sempre migliore attraverso il sistema di scansione principale utilizzato. Dall’esame dei siti ‘bucati’ si ottengono dei dati sulle modalità che hanno permesso ai pirati informatici di accedere al sito e permette al team di ottenere informazioni aggiornate sui nuovi strumenti di attacco. Nello stesso tempo, queste indagini permettono a Wordfence di aggiungere nuovi codici di riconoscimento al sistema di scansione e consentire così di migliorare ulteriormente il riconoscimento e l’intercettazione di nuovi attacchi.
Nel corso di una recente indagine su un’infezione di ampia portata il team ha individuato un insieme di strumenti di attacco riconducibili allo stesso script ‘meta’. Si tratta di uno script di appena due righe di codiceVedi programma ma in grado di permettere al pirata informatico un attacco molto potente. Una volta installato, questo script mette a sua disposizione ciò che il team di Wordfence ha definito come una vera e propria ‘piattaformaCon questo termine si indica un ambiente digitale, per esempio uno sistema operativo assieme all’hardware che lo ospita, oppure un portale online che eroga servizi. di attacco intregrata’.
Lo script è stato ‘decodificato’ attraverso un’operazione di ‘reverse engineering’ e si è scoperto che scaricava il resto del codiceVedi programma necessario da pastebin.com, un sito in cui chiunque può pubblicare anonimamente del testo. L’autore dello script aveva infatti pubblicato su pastebin.com il codice sorgenteLe righe di istruzioni di un programma nella loro forma leggibile (legata a uno specifico linguaggio) ovvero prima che siano “compilate” e rese invece più comprensibili al dispositivo informatico che dovrà eseguirle., che veniva appunto scaricato ed eseguito dalle due righe di codiceVedi programma inziali. Ciò permetteva, appunto, di avviare un’infezione di larga portata semplicemente con due righe di codiceVedi programma.
Una volta installata, la piattaformaCon questo termine si indica un ambiente digitale, per esempio uno sistema operativo assieme all’hardware che lo ospita, oppure un portale online che eroga servizi. di attacco metteva a disposizione del pirata informatico ben 43 strumenti scaricabili sempre da pastebin con un solo click. Fra le funzionalità messe a disposizione da questi trumenti abbiamo trovato:
- Una shell di attacco completa che permette di gestire il filesystem, accedere al databaseArchivio strutturato di dati, consultabile attraverso ricerche, ordinamenti e selezioni anche parziali delle informazioni presenti al suo interno. attraverso un clientUn dispositivo (di solito un computer) o un applicativo (per esempio un software di posta elettronica) che accede a un server per utilizzarne i servizi. SQL ben progettato, vedere le informazioni di sistema, creare un’infezione globale nel sistema, avviare attacchi DoSAcronimo di Disk Operating System, ovvero sistema operativo su disco. Famoso quello di Microsoft, noto appunto come MS DOS. verso altri sistemi, individuare e infettare altri CMS, vedere e gestire gli accountLe informazioni personali memorizzate quando ci si registra a un servizio online, di solito limitate a indirizzo e-mail o nome utente e password di accesso. Vedi anche registrazione. degli utenti sia sui CMS sia sul sistema operativoSoftware che, installato su un computer, rende quest'ultimo in grado di "dialogare" con gli utenti, in passato per mezzo di comandi testuali e, in seguito, per mezzo di una interfaccia grafica gestita per mezzo di un puntatore (comandato da un mouse oppure da un touchpad) sui computer oppure con le ... locale e molto altro.
- Uno strumento di atacco a forza bruta via FTP.
- Uno script di attacco a forza bruta per WordPress.
- Strumenti per la scansione dei fileVedi archivio di configurazioneVedi impostazioni o di informazioni sensibili.
- Strumenti per scaricare l’intero sito o parti di esso.
- La capacità di effettuare scansioni alla ricerca di altre shell di attacco.
- Strumenti destinati a specifici CMS e in grado di cambiarne la configurazioneVedi impostazioni per ospitare del codiceVedi programma malevolo.
Nell’infezione su cui è stata svolta l’indagine la fonte pare fosse riconducibile a un gruppo di pirati informatici vietnamiti e a un membro del gruppo in particolare.
Per dare un’idea più precisa delle funzionalità offerte da questa piattaformaCon questo termine si indica un ambiente digitale, per esempio uno sistema operativo assieme all’hardware che lo ospita, oppure un portale online che eroga servizi. è stato realizzato un video dimostrativo dove una macchinaTermine generico per indicare un ‘elaboratore’, ovvero un sistema informatico al cui interno è presente una CPU, per esempio un computer ma anche un tablet o uno smartphone, o addirittura un dispositivo industriale. virtuale di test viene infettata con il meta script composto da due righe di codiceVedi programma e quest’ultimo viene utilizzato per scaricare gli strumenti sopra descritti.
E’ importante sottolineare che la diostrazione è stata condotta in una macchinaTermine generico per indicare un ‘elaboratore’, ovvero un sistema informatico al cui interno è presente una CPU, per esempio un computer ma anche un tablet o uno smartphone, o addirittura un dispositivo industriale. virtuale nuova e appena creata in cui sono stati inseriti alcuni strumenti di prevenzione di Wordfence atti a evitare ulteriori infezioni e attacchi. Fra questi ultimi, un sistema che forzava il traffico di rete in modo che potesse passare solo attraverso un proxy particolare per monitorare i dati in entrate e in uscita dalla macchinaTermine generico per indicare un ‘elaboratore’, ovvero un sistema informatico al cui interno è presente una CPU, per esempio un computer ma anche un tablet o uno smartphone, o addirittura un dispositivo industriale. virtuale.
NOTA: il video è disponibile nella pagina dell’articolo originale.
Come si può notare dal video, i pirati informatici hanno in questo caso sviluppato sistemi di attacco altamente evoluti e strumenti in grado di compromettere e ‘bucare’ il sito. La priorità di chi possiede o gestisce un sito WordPress è, quindi, quello di prevenire l’accesso al sito da parte dei pirati informatici. Il Centro Didattico sulla Sicurezza di Wordfence è un buon punto di partenza per apprendere le basi necessarie a difendere il proprio sito. Il consiglio del team è anche quello di passare alla versione Premium di Wordfence se non è stato già fatto. In questo modo sarà possibile pianificare scansioni di controllo frequenti per la sicurezza del sito, aumentando così le possibilità di intercettare e bloccare in tempo eventuali attacchi.
Speriamo che il video dimostrativo e le informazioni fornite nell’articolo siano utili a un numero sempre maggiore di utenti di WordPress e vi invitiamo a condividere queste informazioni per il beneficio di tutti.
PER APPROFONDIRE: Articolo/tutorial sull’uso di Wordfence su WPAZ
FONTE: “An Attack Platform Infecting WordPress Sites” (con autorizzazione alla traduzione da parte degli autori, che ringrazio di cuore)