WordPress e il malware SoakSOak

Recentemente, più di 100.000 siti WordPress sono stati attaccati attraverso la vulnerabilità di un plug-in di terze parti, e questo numero è destinato ad aumentare ulteriormente. Il blog e content management system (CMS) open-source WordPress è a rischio pesante a causa di questo plug-in e molti dei proprietari non sono neanche consapevoli che esso sia in esecuzione sul proprio sito. Oggi, migliaia di siti web WordPress sono, quindi, attaccabili mediante questo malware noto come SoakSoak.

L’attacco

E ‘estremamente importante capire come funzioni il malware SoakSoak essendo WordPress una delle piattaforme di pubblicazione Web più popolari e ampiamente utilizzate. Capire come funziona, può aiutare a prevenire la compromissione del vostro sito WordPress.

Circa un sito su sei – quasi 60 milioni in tutto il mondo – è ospitato da WordPress. Il malware è stato in “incubazione” in tantissimi siti WordPress per parecchio tempo. Gli hackers ora sfruttano questo malware per iniettare il proprio codice dannoso in diversi file JavaScript. Questo significa che il danno potrebbe diventare anche più grave se non viene fermato per tempo.

In principio, gli aggressori agiscono sul file wp-includes/template-loader.php. Una volta che il file è stato compromesso, il codice JavaScript creato dagli aggressori è visibile in ogni pagina del sito infetto. Questo codice poi scarica il malware da un dominio remoto. Gli aggressori hanno iniziato modificando le loro tattiche e, utilizzando il malware SoakSoak, hanno anche attaccato altri JavaScript, infettando così un nuovo gruppo di siti web.

Google aveva fatto qualche passo per affrontare questo problema inserendo nella blacklist migliaia di quei siti che erano stati infettati da SoakSoak. Questa vulnerabilità è stata poi riparata dagli sviluppatori del plugin, ma i siti che non sono stati aggiornati sono ancora esposti a questi attacchi.

L’impatto

Il malware SoakSoak infetta le versioni più obsolete del plugin WordPress chiamato RevSlider. In sostanza, la vera vulnerabilità è nel plug-in di terze parti RevSlider. Questo plug-in è il più delle volte contenuto in temi WordPress che gli sviluppatori del sito WordPress scelgono di installare. Le versioni precedenti alla 4.2 sono quelle più prese di mira. Ora, il problema effettivo è che il plugin RevSlider è un plugin premium. Non può essere facilmente aggiornato da solo e ciò è un disastro per i proprietari dei siti. La maggior parte degli utenti non sono neanche consapevoli che questo plug-in è in dotazione nel loro temi WordPress.

Proprio come in molti casi di sicurezza di WordPress, il colpevole principale di questo scenario è il plugin. Questi plug-in, che sono molto vecchi sono insicuri e molto difficili da aggiornare al contrario del core di WordPress. Questo è uno dei motivi per cui è importante per gli utenti di WordPress aggiornare i propri sistemi con le ultime versioni di tutti i plugin in modo da evitare attacchi malware.

La soluzione
Che cosa si può fare per evitare al vostro sito WordPress di essere in pericolo? innanzitutto disinstallare tutti i plugin che non vengono utilizzati. A quanto pare, le menti dietro il
Malware SoakSoak stanno  sfruttando le vulnerabilità esistenti nei plugin WordPress in quanto è il metodo più semplice di diffusione di malware attraverso siti WordPress. La maggior parte degli sviluppatori non aggiornano costantemente e controllano i plug-in che installano, e ciò li rende una facile porta per attaccare un sito web. Pertanto, è necessario assicurarsi di mantenere WordPress e i plugin associati aggiornati.
L‘aggiornamento o la disinstallazione dei plugin inutili è tra le migliori pratiche di sicurezza. Gli esperti di sicurezza hanno sempre consigliato di mantenere
regolarmente aggiornati tutti i software e i driver. Gli amministratori di rete sono ben consapevoli del fatto che è meglio disinstallare i componenti aggiuntivi che rimangono inutilizzati e che possono esporre i loro server a rischi.