Autore: La Redazione

Dietro un plug-in di caching di WordPress dall’aspetto autentico si nasconde un malware sofisticato in grado di creare un account amministrativo per un sito Web, offrendo agli autori delle minacce un modo per dirottare completamente i siti Web infetti a piacimento.

I ricercatori di Wordfence hanno scoperto il plugin, che può eseguire una serie di attività dannose mascherandosi da legittimo software aggiuntivo per la piattaforma WordPress, hanno rivelato in un post sul blog 11 ottobre. La principale di queste attività è la possibilità di creare un account amministratore e attivare i plugin da remoto, dando sostanzialmente libero sfogo agli autori delle minacce sui siti infetti.

La backdoor può funzionare sia come script autonomo che come plug-in, con funzionalità come l’attivazione remota del plug-in e il filtro condizionale dei contenuti che gli conferiscono funzionalità di evasione difficili da rilevare per gli utenti inesperti.

Altre funzionalità includono la possibilità di aggiungere filtri per impedire che il malware venga incluso nell’elenco dei plug-in attivati, funzionalità di ping che consente a un utente malintenzionato di verificare se lo script è ancora operativo e funzionalità di modifica dei file. Inoltre, la backdoor può attivare o disattivare plugin arbitrari da remoto, il che è “utile per disabilitare plugin indesiderati e anche per attivare questo plugin dannoso secondo necessità”, ha scritto Wotschka.

“Poiché il file dannoso viene eseguito come plug-in nel contesto di WordPress, ha accesso alle normali funzionalità di WordPress proprio come fanno gli altri plug-in”, ha scritto nel post Marco Wotschka, ricercatore di vulnerabilità di Wordfence. “Nel loro insieme, queste funzionalità forniscono agli aggressori tutto ciò di cui hanno bisogno per controllare e monetizzare da remoto un sito vittima, a scapito del posizionamento SEO del sito stesso e della privacy degli utenti.”

Un analista di Wordfence ha scoperto un campione del malware durante la pulizia del sito il 18 luglio e ha creato una firma il giorno successivo, che è stata successivamente testata e rilasciata ai clienti di Wordfence il 1° settembre.

Plugin dannoso: un nemico malware nascosto ma rilevabile

I ricercatori hanno analizzato alcune delle funzionalità chiave del file plug-in dannosocomprese funzionalità che molto probabilmente destano sospetti tra gli attuali amministratori o utenti del sito.

Uno di questi consiste nell’utilizzare la funzione wp_create_user per creare un nuovo account utente con il nome utente superadmin e una password codificata per impostare un utente malintenzionato come amministratore del sito Web. Secondo Wordfence, questo account viene rimosso una volta che una vittima è stata compromessa con successo in modo da rimuovere le tracce e quindi ridurre i cambiamenti di rilevamento.

“Anche se spesso vista nel codice di prova, la creazione di utenti con password codificate dovrebbe essere considerata un campanello d’allarme, e l’elevazione di questo utente ad amministratore è certamente motivo sufficiente per sospettare”, ha scritto Wotschka.

Il plug-in dannoso include anche il codice di rilevamento dei bot, spesso presente nel malware su un sito Web che fornisce contenuti normali ad alcuni utenti reindirizzando o presentando contenuti dannosi ad altri.

“Un filo comune condiviso da questi scenari di infezione è che i proprietari dei siti ritengono che il loro sito abbia un bell’aspetto, ma i loro visitatori hanno segnalato problemi come vedere spam o essere reindirizzati a siti dubbi”, ha spiegato Wotschka.

Inoltre, poiché questo tipo di malware vuole che i motori di ricerca trovino il contenuto dannoso, di solito viene loro servito mentre indicizzano un sito, ha detto. Gli autori delle minacce utilizzano il riempimento di parole chiave per aumentare il traffico inviato ai siti infetti, con gli amministratori che spesso segnalano un aumento improvviso e inaspettato del traffico del sito quando i loro siti vengono colpiti da un’infezione.

Sebbene la sola presenza del codice di rilevamento dei bot non sia sufficiente per verificare la presenza di attività dannose su un sito Web, si distingue come attività sospetta, ha aggiunto Wotschka.

Protezione dei siti WordPress

I plugin rimangono un esposto e una superficie di attacco considerevole per WordPress e i milioni di siti basati su di esso, un problema endemico che rimane una minaccia persistente. Gli autori delle minacce hanno preso di mira i siti WordPress tramite entrambi dannoso E vulnerabile plugin, ed entrambi i problemi spesso passano inosservati agli operatori del sito fino a quando un sito web non è già stato creato sotto attacco attivo.

Nel complesso, chiunque crei siti Web utilizzando WordPress dovrebbe seguire le migliori pratiche di sicurezza nel modo in cui configura i siti per garantire che rimangano il più protetti possibile. Wordfence ha informato che tDovrebbero includere anche un qualche tipo di monitoraggio della sicurezza sul sito in caso di compromissione anche dopo aver seguito queste pratiche.

SEO è una componente essenziale del successo di qualsiasi sito web. Al giorno d’oggi, WordPress è una delle piattaforme di gestione dei contenuti più popolari al mondo.

Per’ottimizzare il SEO del tuo sito WordPress, puoi fare affidamento su molti strumenti disponibili. In questo articolo ti invitiamo a scoprire alcuni dei migliori plugin WordPress per la SEO.

Cos’è WordPress?

WordPress è un popolare sistema di gestione dei contenuti utilizzato per creare siti Web. Lanciato nel 2003, è diventato rapidamente uno dei CMS più apprezzati al mondo. Alimenta milioni di siti web. Tieni presente che questo CMS è ampiamente apprezzato per la sua flessibilità, facilità d’uso e la sua ampia comunità di sviluppatori e contributori.

A differenza di altre piattaforme, WordPress consente ai suoi utenti di creare, gestire e personalizzare facilmente i propri contenuti utilizzando temi e plugin.

Tieni presente che questo strumento è ottimizzato anche per il SEO. Offre molte funzionalità che soddisfano le diverse esigenze degli utenti web. Puoi contattare questo agenzia SEO WordPress versare migliorare le prestazioni del tuo sito.

Cos’è un plug-in?

Chiamato anche “estensione o modulo di estensione”, un plugin è un componente software che consente di aggiungere funzionalità specifiche a un’applicazione o un programma esistente.

Molto spesso i plugin vengono utilizzati per estendere le capacità del software senza modificarne il codice sorgente. Si trovano comunemente nei browser Web, nei software di fotoritocco, nei software di elaborazione testi, ecc.

In generale, i plugin sono abituati personalizzare o migliorare il software aggiungendo funzionalità specifiche in base alle esigenze dell’utente. In un browser web, ad esempio, è del tutto possibile installare plugin per rafforzare la sicurezza delle pagine, visualizzare video o bloccare la pubblicità.

Nel caso di WordPress, una libreria di plugin è collegata al CMS ed accessibile dalla sua interfaccia. Puoi così installa i tuoi plugin direttamente da WordPress e scopri migliaia di possibilità per migliorare il tuo sito web. La maggior parte di essi sono gratuiti e alcuni offrono una versione a pagamento che estende le possibilità del plugin.

Definizione del SEO (ottimizzazione per i motori di ricerca)

Il SEO si riferisce a tutte le tecniche utilizzate per migliorare la visibilità e il posizionamento di un sito web nei risultati dei motori di ricerca. L’obiettivo è aumentare il traffico organico ottimizzando vari aspetti del sito, ovvero: velocità di caricamento, contenuto, tag, struttura, qualità dei collegamenti in entrata, ecc.

Come puoi vedere, la SEO aiuta aumentare la notorietà online di un’azienda. Si tratta di un lavoro a lungo termine che migliora il ritorno sull’investimento di un sito Web aumentandone la credibilità e attirando un pubblico mirato. Non esitate a dare un’occhiata Keyweo per rafforzare la tua strategia di visibilità online.

I migliori plugin SEO per WordPress

Oggi ce ne sono molti plugin SEO WordPress. La scelta viene fatta in base alle esigenze, sia che si tratti di ottimizzarne i contenuti o dell’aspetto tecnico come migliorare i tempi di caricamento delle proprie pagine web. I plugin SEO hanno quindi diversi orientamenti possibili.

Tra i migliori plugin SEO del momento possiamo citare:

Ottimo SEO

Yoast SEO offre una gamma completa di strumenti per ottimizzare un sito web attraverso una migliore gestione di titoli, meta descrizioni, tag, ecc. Tieni presente che questo plugin valuta anche la leggibilità dei tuoi contenuti e ti fornisce consigli efficaci per migliorarli. Tieni presente che ti consente anche di gestire i social network e offre un’analisi approfondita di come appariranno i contenuti sui social media e su Google.

Pacchetto SEO tutto in uno

Il pacchetto SEO tutto in uno ti consente di personalizzare meta descrizioni, titoli, tag canonici e generare mappe del sito XML. La sua interfaccia intuitiva lo rende la scelta ideale per i principianti riferimento naturale. Oltre alla versione gratuita, questo plugin dispone anche di un’opzione premium con funzionalità avanzate.

Schema Pro

Schema Pro è un plugin appositamente progettato per consentirti di aggiungere dati strutturati al tuo sito web. Il suo obiettivo è aiutare i motori di ricerca comprendere il contenuto del tuo sito e visualizzare risultati arricchiti. Con questo strumento, hai la possibilità di migliorare la visibilità dei tuoi contenuti aggiungendo tag schema.org ai tuoi articoli, pagine, prodotti, ecc.

WP Super Cache

Conoscendo l’importanza di PageSpeed ​​per Google, WP Super Cache offre la possibilità di migliorare notevolmente la velocità di un sito WordPress. L’idea è aumentare il SEO del sito prendendosi cura dell’esperienza dell’utente.

Classifica SEO matematica

Rank Math SEO offre a analisi approfondita dei tuoi contenuti, consigli sulle parole chiave e ottimizzazione avanzata dei tag schema.org. Questi tag ti consentono di ottimizzare la visualizzazione di un sito WordPress nei risultati di ricerca. Questo plugin offre anche un’interfaccia utente intuitiva che semplifica l’impostazione e la gestione della SEO.

Come installare un plugin su WordPress?

Installa un plugin su WordPress è un compito relativamente semplice. Per fare ciò basta seguire alcuni passaggi. Prendiamo come esempio il plugin Yoast SEO.

Inizia accedendo alla dashboard di WordPress, quindi vai alla pagina dei plugin dalla barra laterale sinistra. Clicca su ” Estensioni » dopo di che ” Aggiungere “

Cerca quindi il plugin desiderato, qui Yoast SEO e selezionalo.

Fare clic sul pulsante ” Abilitare »

Una volta installato e attivato, procedi con la configurazione scegliendo le opzioni adatte alle tue esigenze. Potrai accedere alle opzioni, sia dal menu laterale sinistro perché una nuova scheda “ Ottimo SEO » apparirà, sia dalla pagina delle estensioni, dove apparirà nell’elenco (vedi sotto).

Alcuni plugin richiedono di fare clic su un pulsante delle impostazioni dalla pagina dei plugin, altri dal pulsante ” Utensili ” O ” Impostazioni » nella barra laterale.

Non dimenticare di aggiornare regolarmente il tuo plugin per continuare a goderne i vantaggi.

Se lo desideri, puoi disattivare o rimuovere un plugin in qualsiasi momento seguendo le istruzioni nella pagina dei plugin. Fare clic sul pulsante ” disattivare » e poi un pulsante « ELIMINARE Apparirà » e ti basterà cliccarci sopra per eliminare definitivamente il plugin.

I blogger e altri editori che utilizzano WordPress per ospitare il proprio sito ora possono usarlo per unirsi al fediverso attraverso un plug-in ufficiale ActivityPub, annunciato oggi da WordPress.com.

ActivityPub consente ai social network di parlare attraverso le piattaforme, il che significa che gli utenti possono vedere e interagire con i contenuti su altre piattaforme da dove si trovano senza creare un nuovo account. Proprietario di WordPress.com Automattic ha acquisito il plug-in ActivityPub per WordPress all’inizio di quest’anno e la funzionalità è ora disponibile per chiunque possa installarla tramite le impostazioni di WordPress.

Nel caso di un blog WordPress.com, il pubblico potrà seguire un editore attraverso altre piattaforme federate come Mastodon. Le risposte su altre piattaforme si trasformeranno automaticamente in commenti sul post WordPress di un editore, consentendogli di interagire direttamente con il pubblico fuori piattaforma. L’impostazione è disponibile su tutti i siti WordPress ai livelli gratuito, personale e premium: milioni di blog potranno ora unirsi al fediverso in pochi secondi.

Un’impostazione ActivityPub ufficiale per WordPress arriva mentre i social network cercano di competere con X, precedentemente Twitter, e molti utenti cercano di capire dove andare. X alternative come Mastodon, Bluesky, Meta’s Threads e Tumblr (anch’esse di proprietà di Automattic) hanno ricevuto in modo intermittente ondate di utenti, ma finora ogni spazio ha la sua atmosfera – e competitiva. Meta dice che ha intenzione di farlo rendere Threads parte del fediverso in futuro, aprendo potenzialmente i contenuti che gli utenti condividono su altre piattaforme come Mastodon o WordPress. Finora ciò non si è concretizzato, anche se Meta negli ultimi mesi ha introdotto un modo per farlo verifica il tuo profilo Threads tramite Mastodon.

ChatGPT ha preso d’assalto il mondo lo scorso anno e, sebbene non abbia esattamente sostituito il lavoro, ha reso la vita molto più semplice per molte persone. E può anche rendere molto più semplice la gestione di un sito Web WordPress, se prendi il file Plug-in WordPress ChatGPT.

Durante la nostra versione di Deal Days, un evento di risparmio a tempo limitato, puoi ottenere una licenza a vita per questo plugin intelligente con uno sconto dell’86%.

Puoi rendere disponibili le funzionalità di ChatGPT sul front-end del tuo sito web, sul back-end o su entrambi, consentendo agli amministratori o agli utenti di porre domande su ChatGPT direttamente sul tuo sito. Puoi anche usarlo per generare rapidamente contenuti, completare i compitie risolvi i problemi direttamente sul tuo sito. Le applicazioni sono praticamente illimitate.

Scopri perché gli utenti hanno alimentato il Plug-in WordPress ChatGPT ad una perfetta valutazione a 5 stelle. Da oggi fino alle 23:59 PT del 15 ottobre, puoi ottenere una licenza a vita con uno sconto dell’86% su $ 299 a soli $ 39,97.

Plugin WordPress ChatGPT: licenza a vita – $ 39,97

Vedi Affare

I prezzi sono soggetti a modifiche.

Crediti immagine: Automatico

All’inizio di quest’anno, Automattic, proprietario di WordPress.com acquisita un plugin che ha permesso ai blog WordPress di essere seguiti nel fediverso, i social network decentralizzati che includono il Il rivale di Twitter Mastodon e altri. Di conseguenza, esso ha lanciato la versione 1.0.0 del pluginconsentendo di seguire i blog WordPress su Mastodon e altre app fediverse. All’epoca, però, i blog WordPress.com non erano ancora supportati. Ma oggi le cose cambiano.

Automatico annunciato questa mattina che la funzionalità ActivityPub è ora disponibile su tutti i piani WordPress.com. Ciò significa che chiunque utilizzi la versione ospitata del software open source WordPress ora ha la possibilità di collegarsi al fediverso, collegando il proprio blog a piattaforme federate come Mastodon, Pleroma, Friendica e altre. Utilizzando il plugin, i proprietari dei blog hanno il potenziale per raggiungere più follower poiché potranno condividere i loro post su altre piattaforme e, a loro volta, ricevere risposte da quelle piattaforme che verranno trasformate in commenti sul blog.

Notes Automattic, questo può creare una “conversazione più interattiva e dinamica attorno ai tuoi contenuti”, afferma l’annuncio.

Utilizzando il plugin, il blog stesso può diventare anche il profilo dell’utente nel fediverso, invece di dover creare un account direttamente su un’app federata, come Mastodon. Ma possono ancora raggiungere quel pubblico più vasto, che oggi comprende 1,8 milioni di utenti Mastodon attivi mensilmente e un totale di 13,3 milioni di utenti in tutto il fediverso, secondo una fonte per le statistiche di rete.

Per implementare il plug-in sui siti ospitati su WordPress.com gratuiti, personali e premium, è sufficiente accedere alla sezione Discussione con Impostazioni dalla dashboard del blog e abilitare l’interruttore intitolato “Entra nel fediverso”. Da lì, prenderai nota del tuo nome fediverse predefinito, che fa riferimento al dominio del blog (ad esempio “openprotocolfanblog.wordpress.com@openprotocolfanblog.wordpress.com.”) Quel profilo può quindi essere condiviso con altri in modo che possano seguirlo su Mastodon o altre piattaforme. È anche possibile utilizzare un dominio personalizzato che offrirà agli utenti un profilo più breve e più memorabile.

I siti aziendali e commerciali dovranno installare il plug-in ActivityPub e quindi seguire le istruzioni per impostare il proprio profilo.

Il plugin ActivityPub ora di proprietà di Automattic conta 54.756 installazioni a vita totale, rispetto ai 42.831 del mese scorso. Con il supporto aggiuntivo per i blog WordPress.com, ancora più siti e utenti potranno essere integrati nel fediverso. Ciò potrebbe espandere anche i numeri del fediverso, dato ciò Le statistiche di Automattic indicano che oltre 409 milioni di persone visualizzano più di 20 miliardi di pagine ogni mese sui siti Web WordPress.com.

Automattic non è l’unica azienda ad abbracciare il social networking decentralizzato. All’inizio di quest’anno, Medium ha detto che lancerà il proprio server Mastodon e integrarsi con ActivityPub. Applicazione rivista Flipboard ha anche annunciato che stava lanciando una propria istanza su flipboard.social e si integrerebbe con Mastodon in modo che i suoi utenti possano seguire gli aggiornamenti di Mastodon nell’app Flipboard. La nuova app di Instagram Threads promette anche di integrarsi con ActivityPub ma non lo ha ancora fatto.

Per rimanere competitivi, gli imprenditori devono utilizzare tecnologie all’avanguardia. Una di queste tecnologie è ChatGPT, un potente strumento basato sull’intelligenza artificiale che può rivoluzionare il modo in cui comunichi con i tuoi clienti. Ha fatto notizia per i suoi usi di vasta portata, ed è giusto che sia così, poiché funziona istantaneamente in vari modi. Questa licenza a vita per il plugin ChatGPT WordPress è disponibile per soli $ 39,97 (reg. $ 299) fino al 15 ottobre.

Non importa quale sia la tua attività, ChatGPT può aiutarti a creare contenuti da utilizzare immediatamente sul tuo sito. Ad esempio, se possiedi un sito di e-commerce e hai bisogno di un testo per descrivere i tuoi articoli, puoi risparmiare tempo ed energia lasciando che questo strumento di intelligenza artificiale ti aiuti. Basta digitare ciò di cui hai bisogno e il contenuto verrà generato.

Potrai anche porre domande a ChatGPT e ottenere risposte precise istantaneamente. Ciò può consentire a esperienza lavorativa più snella. È un modo semplice per ottenere assistenza e aumentare la produttività.

D’altro canto, puoi utilizzare ChatGPT come risorsa rivolta al cliente, offrendoti un chatbot funzionante per fornire ai visitatori risposte istantanee e in linguaggio naturale alle domande e migliorare la funzione di ricerca del tuo sito.

Avrai bisogno di un account OpenAI per utilizzare questo plugin. La versione ChatGPT del plugin (gratuita o Plus) dipende dal tipo di account OpenAI che hai. Un acquirente verificato di nome Dan ha lasciato una recensione a cinque stelle e ha detto: “Questa è stata una grande aggiunta al mio sito web, fornendo una nuova copia aggiornata da testare”.

Riceverai consegna e download immediati, nonché assistenza clienti gratuita con l’acquisto. Ma non aspettare troppo a lungo, perché il miglior prezzo sul web è disponibile solo per un periodo limitato.

Prendi un licenza a vita per questo plugin WordPress ChatGPT al prezzo esclusivo di $ 39,97 (reg. $ 299) fino al 15 ottobre alle 23:59 PT.

Prezzi soggetti a modifiche.

ChatGPT ha cambiato definitivamente il panorama di Internet: questo è pienamente noto. Ciò che non è risaputo è quanto sia realmente accessibile questo potente strumento di intelligenza artificiale. Caso in questione: questo plugin ChatGPT WordPress (valutato a 5 stelle!) ti consente di inserire i più influenti di oggi .

Durante i Deal Days, la nostra risposta al Prime Day, puoi ottenere l’accesso illimitato a questo plug-in ChatGPT per soli $ 39,97 (reg. $ 299) fino al 15 ottobre. Non è necessario alcun coupon per ottenere questo prezzo esclusivo!

Il modo in cui lo usi dipende da te. Puoi renderlo disponibile esclusivamente ai membri o a tutti i visitatori come chatbot per migliorare l’esperienza e il coinvolgimento dell’utente. O, . Hai anche la possibilità di utilizzare questa tecnologia sul front-end del tuo sito web, sull’amministratore del back-end o su entrambi!

Inoltre, questo plug-in ChatGPT può aiutarti a generare contenuti per il tuo sito e completare attività che possono essere facilmente automatizzate. Puoi anche porre domande con il plugin e usufruire della guida dell’intelligenza artificiale.

Fino al 15 ottobre, durante i Deal Days, i nuovi utenti possono ottenerlo ad un prezzo esclusivo: solo $ 39,97. Nessun coupon richiesto!

Plugin WordPress ChatGPT: licenza a vita – $ 39,97

Prezzi soggetti a modifiche.

Diverse campagne Balada Injector hanno compromesso e infettato oltre 17.000 siti WordPress utilizzando difetti noti nei plugin di temi premium.

Balada Injector è un’operazione massiccia scoperto nel dicembre 2022 da Dr. Web, che ha sfruttato vari exploit per noti plugin e difetti dei temi di WordPress per iniettare una backdoor Linux.

La backdoor reindirizza i visitatori dei siti Web compromessi a pagine di supporto tecnico false, vincite fraudolente alla lotteria e truffe con notifiche push, quindi fa parte di campagne di truffa o di un servizio venduto ai truffatori.

Nell’aprile 2023, Sucuri ha riferito che Balada Injector è attivo dal 2017 e ha stimato che avesse compromesso quasi un milione di siti WordPress.

Campagna attuale

Gli autori delle minacce sfruttano la falla di cross-site scripting (XSS) CVE-2023-3169 in tagDiv Composer, uno strumento complementare per i temi Newspaper e Newsmag di tagDiv per i siti WordPress.

Secondo le statistiche pubbliche di EnvatoMarket, il giornale ha 137.000 vendite e NewsMag oltre 18.500, quindi la superficie di attacco è di 155.500 siti web, senza contare le copie piratate.

I due sono temi premium (a pagamento), spesso utilizzati da fiorenti piattaforme online che mantengono operazioni sane e raccolgono traffico significativo.

L’ultima campagna mirata a CVE-2023-3169 è iniziata a metà settembre, poco dopo divulgazione dei dettagli della vulnerabilità ed è stato rilasciato un PoC (exploit proof-of-concept).

Questi attacchi sono in linea con una campagna condivisa con BleepingComputer alla fine di settembre, quando gli amministratori ne hanno riferito Reddit che numerosi siti WordPress sono stati infettati da un plugin dannoso chiamato wp-zexit.php.

Questo plugin consentiva agli autori delle minacce di inviare in remoto codice PHP che veniva salvato nel file /tmp/i ed eseguito.

Gli attacchi sono stati contrassegnati anche dall’inserimento di codice in modelli che reindirizzavano gli utenti a siti truffa sotto il controllo dell’aggressore.

All’epoca, un rappresentante di tagDiv confermò di essere a conoscenza del difetto e disse alle persone di installare il tema più recente per prevenire gli attacchi.

“Siamo a conoscenza di questi casi. Il malware può colpire siti web che utilizzano versioni di temi precedenti,” spiegato tagDiv.

“Oltre ad aggiornare il tema, la raccomandazione è di installare immediatamente un plugin di sicurezza come Wordfence e scansionare il sito web. Cambiare anche tutte le password dei siti web.”

Succhi il rapporto getta nuova luce sulla campagna, avvertendo che diverse migliaia di siti sono già stati compromessi.

Un segno caratteristico dello sfruttamento CVE-2023-3169 è uno script dannoso inserito all’interno di tag specifici, mentre l’iniezione offuscata stessa può essere trovata nella tabella “wp_options” del database del sito web.

Sucuri ha osservato sei distinte ondate di attacchi, alcune delle quali presentano anche delle varianti, riassunte di seguito:

1. Compromettere i siti WordPress iniettando script dannosi da stay.decentralappps[.]com. La falla consentiva la propagazione di codice dannoso su pagine pubbliche. Oltre 5.000 siti sono stati interessati da due varianti (4.000 e 1.000).
2. Utilizzo di script dannosi per creare account amministratore WordPress non autorizzati. Originariamente veniva utilizzato il nome utente “greeceman”, ma gli aggressori sono passati a nomi utente generati automaticamente in base al nome host del sito.
3. Abusare dell’editor di temi di WordPress per incorporare backdoor nel file 404.php del tema Newspaper per una persistenza furtiva.
4. Gli aggressori sono passati all’installazione del plugin wp-zexit menzionato in precedenza, che imitava il comportamento degli amministratori di WordPress e nascondeva la backdoor nell’interfaccia Ajax del sito web.
5. L’introduzione di tre nuovi domini e una maggiore randomizzazione tra script, URL e codici inseriti hanno reso il monitoraggio e il rilevamento più impegnativi. Un’iniezione specifica di questa ondata è stata osservata in 484 siti.
6. Gli attacchi ora utilizzano la prommozione[.]com sottodomini invece di stay.decentralappps[.]com e limitare l’implementazione a tre iniezioni specifiche rilevate in 92, 76 e 67 siti Web. Inoltre, lo scanner di Sucuri rileva le iniezioni di promsmotion su un totale di 560 siti.

In generale, Sucuri afferma di aver rilevato Balada Injector su oltre 17.000 siti WordPress nel settembre 2023, di cui più della metà (9.000) ottenuti sfruttando CVE-2023-3169.

Le ondate di attacco sono state rapidamente ottimizzate, indicando che gli autori delle minacce possono adattare rapidamente le proprie tecniche per ottenere il massimo impatto.

Per difendersi da Balada Injector, si consiglia di aggiornare il plugin tagDiv Composer alla versione 4.2 o successiva, che risolve la vulnerabilità menzionata.

Inoltre, mantieni aggiornati tutti i tuoi temi e plug-in, rimuovi gli account utente inattivi e scansiona i tuoi file per individuare backdoor nascoste.

Succhi scanner ad accesso gratuito rileva la maggior parte delle varianti di Balada Injector, quindi potresti volerlo utilizzare per scansionare la tua installazione di WordPress per individuare eventuali compromessi.

Decine di migliaia di WordPress (WP) sono stati compromessi a causa di una falla nei popolari temi premium, con gli aggressori che hanno sfruttato la vulnerabilità per reindirizzare i visitatori altrove.

Come riportato da BleepingComputer, i ricercatori di sicurezza informatica Succhi ho recentemente scoperto che tagDiv Newspaper e tagDiv Newsmag Temi WordPress entrambi portavano uno strumento complementare vulnerabile chiamato tagDiv Composer.

Migliaia di siti che eseguono il sistema di gestione dei contenuti WordPress sono stati violati da un prolifico attore di minacce che ha sfruttato una vulnerabilità recentemente corretta in un plug-in ampiamente utilizzato.

Il plugin vulnerabile, noto come tagDiv Composer, è un requisito obbligatorio per l’utilizzo di due temi WordPress: Giornale E Newsmag. I temi sono disponibili attraverso i mercati Theme Forest ed Envato e hanno più di 155.000 download.

Classificata come CVE-2023-3169, la vulnerabilità è nota come difetto di cross-site scripting (XSS) che consente agli hacker di inserire codice dannoso nelle pagine web. Scoperto da un ricercatore vietnamita Truoc Phanla vulnerabilità ha un livello di gravità di 7,1 su un massimo di 10. È stata parzialmente corretta nella versione tagDiv Composer 4.1 e completamente patchata nella 4.2.

Secondo a inviare Creato dal ricercatore di sicurezza Denis Sinegubko, gli autori delle minacce stanno sfruttando la vulnerabilità per iniettare script web che reindirizzano i visitatori a vari siti truffa. I reindirizzamenti portano a siti che promuovono un falso supporto tecnico, vincite fraudolente alla lotteria e truffe con notifiche push, le ultime delle quali inducono i visitatori a iscriversi alle notifiche push visualizzando dialoghi captcha falsi.

Sucuri, la società di sicurezza per cui lavora Sinegubko, monitora la campagna malware dal 2017 e l’ha chiamata Balada. Sucuri stima che negli ultimi sei anni Balada abbia compromesso più di 1 milione di siti. Il mese scorso, Sucuri ha rilevato iniezioni di Balada in più di 17.000 siti, quasi il doppio del numero che l’azienda aveva visto il mese prima. Oltre 9.000 delle nuove infezioni sono state il risultato di iniezioni rese possibili sfruttando CVE-2023-3169.

Sinegubko ha scritto:

Abbiamo osservato un rapido ciclo di modifiche agli script inseriti insieme a nuove tecniche e approcci. Abbiamo assistito a iniezioni casuali e tipi di offuscamento, uso simultaneo di più domini e sottodomini, abuso di CloudFlare e molteplici approcci per attaccare gli amministratori di siti WordPress infetti.

Settembre è stato anche un mese molto impegnativo per migliaia di utenti del tema tagDiv Newspaper. La campagna malware Balada Injector ha eseguito una serie di attacchi mirati sia alla vulnerabilità del plugin tagDiv Composer che agli amministratori dei blog di siti già infetti.

Sucuri ha monitorato non meno di sei ondate di iniezioni che sfruttano la vulnerabilità. Sebbene ogni ondata sia distinta, tutte contengono uno script rivelatore inserito all’interno di questi tag:

<style id="tdw-css-placeholder"></style><script>...malicious injection…</script><style></style>

L’iniezione dannosa utilizza codice offuscato per renderne difficile il rilevamento. Si trova nel database utilizzato dai siti WordPress, in particolare nell’opzione “td_live_css_local_storage” della tabella wp_options.

L’autore della minaccia Balada ha sempre tentato di ottenere un controllo persistente sui siti Web che compromette. Il modo più comune per farlo è inserendo script che creano account con privilegi di amministratore. Se gli amministratori reali rilevano e rimuovono gli script di reindirizzamento ma consentono la permanenza degli account amministratore falsi, l’autore della minaccia utilizza il proprio controllo amministrativo per aggiungere un nuovo set di script di reindirizzamento dannosi.

Il ricercatore ha scritto:

Gli hacker di Balada Injector mirano sempre a un controllo persistente sui siti compromessi caricando backdoor, aggiungendo plug-in dannosi e creando amministratori di blog non autorizzati. In questo caso, il [CVE-2023-3169] la vulnerabilità non consente loro di raggiungere facilmente questo obiettivo. Tuttavia, ciò non ha mai impedito a Balada di tentare di impadronirsi completamente dei siti con vulnerabilità XSS archiviate.

Balada è noto da tempo per l’immissione di script dannosi che prendono di mira gli amministratori dei siti che hanno effettuato l’accesso. L’idea è che quando l’amministratore di un blog accede a un sito web, il suo browser contiene cookie che gli consentono di svolgere tutte le attività amministrative senza doversi autenticare su ogni nuova pagina. Pertanto, se il browser carica uno script che tenta di emulare l’attività dell’amministratore, sarà in grado di fare quasi tutto ciò che può essere fatto tramite l’interfaccia di amministrazione di WordPress.

Chiunque amministri un sito che utilizza i temi WordPress Newspaper o Newsmag dovrebbe ispezionare attentamente sia il proprio sito che i registri eventi per individuare eventuali segni di infezione utilizzando i numerosi indicatori di compromissione inclusi nel post di Sucuri. Come accennato, gli autori delle minacce Balada tentano di ottenere un accesso persistente ai siti che compromettono. Oltre a rimuovere eventuali script dannosi aggiunti, è anche importante verificare la presenza di codice backdoor e l’aggiunta di eventuali account amministratore.