Una volta scelto un piano, avrai accesso a un numero specifico di siti Web per attivare il prodotto. Una volta attivata la licenza, inizierai a ricevere gli aggiornamenti di sicurezza. Sì, i sottodomini contano come un sito Web attivo (questo include WordPress multisito).
Puoi utilizzare il prodotto su qualsiasi numero di siti Web di tua proprietà o meno. Tieni presente che riceverai aggiornamenti, supporto e nuove funzionalità solo per i siti Web con licenza attiva.
I ricercatori di sicurezza informatica di Defiant hanno recentemente individuato un nuovo ceppo di malware preso di mira WordPress impersonando un plugin di ottimizzazione.
L’obiettivo del malwaresi diceva che l’obiettivo fosse garantire agli aggressori l’accesso amministrativo al sito WordPress.
Durante la pulizia di un sito Web durante l’estate del 2022, i ricercatori hanno scoperto un plug-in con un commento di apertura “dall’aspetto professionale” su come sia uno strumento di memorizzazione nella cache che aiuta a ridurre lo sforzo sul server e a ridurre i tempi di caricamento della pagina. Questa scelta, hanno spiegato ulteriormente i ricercatori, è stata deliberata, per assicurarsi che gli amministratori web non sospettassero molto sull’ispezione manuale. Inoltre, il plugin è impostato per autoescludersi dalla lista dei plugin attivi, per lo stesso scopo.
Il malware è in grado di fare una serie di cose, inclusa la creazione di un account “superadmin” con una password codificata; rilevamento del traffico bot per fornire loro contenuti spam (a volte erroneamente, causando un picco nelle segnalazioni di spam da parte di utenti autentici); sostituzione dei contenuti del sito e inserimento di link o pulsanti spam (a tutti tranne che agli amministratori del sito in modo che non si rendano conto di cosa sta succedendo); controllare i plugin (attivare o disattivare da remoto i plugin, cancellare ogni traccia della loro esistenza, ecc.); e l’attivazione remota di diverse funzioni dannose.
“Nel loro insieme, queste funzionalità forniscono agli aggressori tutto ciò di cui hanno bisogno per controllare e monetizzare da remoto un sito vittima, a spese del sito stesso. SEO classifiche e privacy degli utenti”, i ricercatori hanno spiegato i loro risultati.
Defiant non ha nominato l’autore della minaccia che attualmente distribuisce il malware, né il numero stimato di siti Web infetti. Inoltre, non sappiamo esattamente come viene distribuito il malware, ma i ricercatori ipotizzano che gli aggressori stiano introducendo la forza bruta nei siti Web WP e installando il plug-in, oppure utilizzando credenziali di accesso rubate altrove, negli attacchi precedenti. Quindi, c’è sempre la possibilità che altri plugin vulnerabili vengano abusati per ottenere l’accesso.
attraverso Computer che dorme
Un nuovo malware si è presentato come un legittimo plug-in di memorizzazione nella cache per prendere di mira i siti WordPress, consentendo agli autori delle minacce di creare un account amministratore e controllare l’attività del sito.
Il malware è una backdoor con una varietà di funzioni che gli consentono di gestire i plug-in e nascondersi da quelli attivi sui siti Web compromessi, sostituire contenuti o reindirizzare determinati utenti a posizioni dannose.
Gli analisti di Defiant, i creatori del Wordfence plugin di sicurezza per WordPress, ha scoperto il nuovo malware a luglio mentre puliva un sito web.
Dando un’occhiata più da vicino alla backdoor, i ricercatori hanno notato che veniva fornita “con un commento di apertura dall’aspetto professionale” mascherato da strumento di memorizzazione nella cache, che in genere aiuta a ridurre il carico del server e a migliorare i tempi di caricamento della pagina.
La decisione di imitare uno strumento del genere appare deliberata, garantendo che passi inosservato durante le ispezioni manuali. Inoltre, il plugin dannoso è impostato per autoescludersi dall’elenco dei “plugin attivi” come mezzo per eludere il controllo.
Il malware presenta le seguenti funzionalità:
“Nel loro insieme, queste funzionalità forniscono agli aggressori tutto ciò di cui hanno bisogno per controllare e monetizzare da remoto un sito vittima, a scapito del posizionamento SEO del sito stesso e della privacy dell’utente”, affermano i ricercatori in un articolo. rapporto.
Al momento Defiant non fornisce dettagli sul numero di siti Web compromessi dal nuovo malware e i suoi ricercatori devono ancora determinare il vettore di accesso iniziale.
I metodi tipici per compromettere un sito Web includono credenziali rubate, password forzate o sfruttamento di una vulnerabilità in un plug-in o tema esistente.
Defiant ha rilasciato una firma di rilevamento per i suoi utenti della versione gratuita di Wordfence e ha aggiunto una regola firewall per proteggere gli utenti Premium, Care e Response dalla backdoor.
Pertanto, i proprietari di siti Web dovrebbero utilizzare credenziali forti e uniche per gli account amministratore, mantenere aggiornati i propri plug-in e rimuovere componenti aggiuntivi e utenti inutilizzati.
Nessun pesce d’aprile qui; solo le vulnerabilità di aprile abbondano nel popolare componente aggiuntivo WordPress Elementor, utilizzato da milioni di siti Web in tutto il mondo. Aggiungendo la beffa al danno, gli autori delle minacce stanno ora sfruttando questa vulnerabilità per modificare le impostazioni e reindirizzare il traffico verso siti dannosi, tra gli altri problemi.
Elementor è un costruttore di siti Web simile a Squarespace che va oltre WordPress, consentendo la personalizzazione drag-and-drop di un sito senza dover conoscere la programmazione o il design. Tuttavia, nelle versioni precedenti alla 3.11.7 con l’edizione premium dello strumento, i proprietari di siti web che utilizzavano anche WooCommerce erano vulnerabili all’acquisizione completa del sito.
Questa vulnerabilità è dovuta a una serie di funzionalità descritte in un post sul blog di Rete di tecnologie Ninjail che spiega che un sito Elementor con WooCommerce carica “elementor-pro/modules/woocommerce/module.php”. Questo componente registra un’azione AJAX chiamata “pro_woocommerce_update_page_option”, che consentirebbe a un amministratore o al responsabile del negozio di aggiornare le opzioni WooCommerce all’interno del database contenente configurazioni e opzioni. Tuttavia, la funzione chiamata dietro “pro_woocommerce_update_page_option” non prevede input dell’utente o convalide dei privilegi, il che significa che qualsiasi utente con qualsiasi livello di privilegio può modificare le opzioni.
Sebbene esistano alcune protezioni a monte di questa funzione che potrebbero impedire che questo attacco si verifichi, è possibile divulgare informazioni sensibili per aggirare queste protezioni con qualsiasi account utente che ha effettuato l’accesso. Tenendo presente tutto ciò, un utente malintenzionato potrebbe creare un account amministratore, reindirizzare il traffico del sito verso un sito dannoso o svolgere altre attività dannose.
Per fortuna, questa vulnerabilità è stata corretta il 22 marzo, appena quattro giorni dopo essere stata scoperta e segnalata agli autori. Tuttavia, PatchStack segnalano casi di sfruttamento attivo da parte di diversi indirizzi IP, file caricati su siti vulnerabili e URL di siti modificati in posizioni controllate dagli aggressori. Pertanto, coloro che utilizzano una versione premium di Elementor e WooCommerce dovrebbero aggiornare i propri siti alla versione Elementor 3.11.7 o successiva.
Agli amministratori di WordPress vengono inviati via email falsi avvisi di sicurezza di WordPress per una vulnerabilità fittizia tracciata come CVE-2023-45124 volta a infettare i siti con un plugin dannoso.
La campagna è stata catturata e segnalata dagli esperti di sicurezza di WordPress su Wordfence E PatchStackche hanno pubblicato alert sui propri siti per sensibilizzare l’opinione pubblica.
Le e-mail fingono di provenire da WordPress, avvertendo che sul sito dell’amministratore è stato rilevato un nuovo difetto critico di esecuzione del codice remoto (RCE) nella piattaforma, esortandoli a scaricare e installare un plug-in che presumibilmente risolve il problema di sicurezza.
Facendo clic sul pulsante “Scarica plug-in” dell’e-mail, la vittima viene indirizzata a una pagina di destinazione falsa su “en-gb-wordpress”[.]org” che sembra identico al sito legittimo “wordpress.com”.
La voce relativa al plug-in falso mostra un numero di download probabilmente gonfiato pari a 500.000, insieme a numerose recensioni di utenti fasulli che spiegano come la patch abbia ripristinato il sito compromesso e li abbia aiutati a contrastare gli attacchi degli hacker.
La stragrande maggioranza delle recensioni degli utenti sono recensioni a cinque stelle, ma vengono inserite recensioni a quattro, tre e una stella per farle sembrare più realistiche.
Al momento dell’installazione, il plug-in crea un utente amministratore nascosto denominato “wpsecuritypatch” e invia informazioni sulla vittima al server di comando e controllo degli aggressori (C2) su “wpgate[.]cerniera lampo.’
Successivamente, il plugin scarica un payload backdoor con codifica base64 dal C2 e lo salva come “wp-autoload.php” nella webroot del sito web.
La backdoor è dotata di funzionalità di gestione dei file, un client SQL, una console PHP e un terminale a riga di comando e mostra agli aggressori informazioni dettagliate sull’ambiente del server.
Il plugin dannoso si nasconde dall’elenco dei plugin installati, quindi per rimuoverlo è necessaria una ricerca manuale nella directory principale del sito.
Al momento, l’obiettivo operativo del plugin rimane sconosciuto.
Tuttavia, PatchStack ipotizza che potrebbe essere utilizzato per inserire annunci pubblicitari su siti compromessi, reindirizzare i visitatori, rubare informazioni sensibili o persino ricattare i proprietari minacciando di far trapelare i contenuti del database del loro sito web.
IL Plug-in LiteSpeed Cacheutilizzato su più di quattro milioni di siti WordPress, ha corretto una vulnerabilità XSS nella versione 5.7. Il plug-in offre funzionalità di accelerazione del sito all-in-one, memorizzazione nella cache a livello di server e una raccolta di funzionalità di ottimizzazione. È compatibile con il multisito WordPress e plugin popolari come WooCommerce, bbPress e Yoast SEO, che possono contribuire alla sua popolarità.
Il ricercatore di sicurezza di Wordfence István Márton ha scoperto la vulnerabilità XSS e l’ha divulgata responsabilmente al LiteSpeed Cache Team il 14 agosto 2023. consultivo descrive come la vulnerabilità potrebbe consentire a un utente malintenzionato di iniettare script dannosi:
Il plug-in LiteSpeed Cache per WordPress è vulnerabile allo Stored Cross-Site Scripting tramite lo shortcode “esi” nelle versioni fino alla 5.6 inclusa a causa dell’insufficiente pulizia dell’input e dell’escape dell’output sugli attributi forniti dall’utente. Ciò consente agli aggressori autenticati con autorizzazioni a livello di collaboratore e superiori di inserire script web arbitrari in pagine che verranno eseguiti ogni volta che un utente accede a una pagina inserita.
Márton ha anche avvertito che le versioni precedenti di WordPress contenevano una vulnerabilità che consentiva il rendering degli shortcode forniti da commentatori non autenticati in determinate configurazioni. Tutte le versioni a partire dalla versione 5.9 di WordPress erano soggette a questa vulnerabilità e se gli utenti non erano attivi una versione patchata di WordPressla vulnerabilità “consentirebbe agli aggressori non autenticati di sfruttare questa vulnerabilità di Cross-Site Scripting su installazioni vulnerabili”.
LiteSpeed Cache ha corretto la vulnerabilità nella versione 5.7, rilasciata a WordPress.org il 10 ottobre. Sebbene l’aggiornamento sia disponibile da due settimane, solo il 30% della base utenti del plugin utilizza la versione più recente.
Si consiglia agli utenti di LiteSpeed Cache di aggiornare all’ultima versione con patch il prima possibile. Dai un’occhiata a consultivo da Wordfence per maggiori dettagli e un’analisi tecnica completa.
Un’ultima parola su quanto costa WordPress deve essere riferita ai plugin di WordPress. Sia per il piano WordPress.com Business che per WordPress.org, potresti aver bisogno di plugin. Alcuni di questi sono gratuiti, ma altri sono a pagamento.
Un plug-in in WordPress è un software che può essere aggiunto al tuo sito Web WordPress per aumentare, creare o estendere le funzionalità.
È un modo per portare nuove funzionalità al sito oltre la programmazione di base. Significano che puoi aggiungere e sviluppare il tuo sito senza conoscere il codice specifico.
Ci sono letteralmente migliaia di plugin gratuiti disponibili per WordPress. Inoltre, sono disponibili per l’acquisto vari plugin.
Ad esempio, OptinMonster è un plug-in di ottimizzazione del tasso di conversione molto popolare, che ti consente di trasformare i visitatori del sito web che stanno per lasciare il tuo sito in abbonati via email. Il costo è di circa £47 al mese (fatturazione annuale), a seconda del livello scelto; tieni presente che il prezzo è in dollari USA.
Un plugin WordPress gratuito ed estremamente popolare è Yoast SEO. Questo plugin ti consente di modificare facilmente titoli SEO, meta tag e altro ancora. Offre anche una versione Premium per £ 79 (IVA esclusa) per un sito con supporto e aggiornamenti gratuiti per un anno.
È stata scoperta una vulnerabilità ad alta gravità nel plugin per la creazione di siti Web Elementor che potrebbe consentire a un utente malintenzionato di caricare file sul server del sito Web ed eseguirli. La vulnerabilità risiede nella funzionalità di caricamento dei modelli.
Il costruttore di siti Web Elementor è un popolare plug-in WordPress con oltre 5 milioni di installazioni. La popolarità è guidata dalla sua funzionalità di trascinamento della selezione semplice da utilizzare per la creazione di siti Web dall’aspetto professionale.
La vulnerabilità scoperta in Elementor ha un punteggio di 8.8/10 e si dice che renda i siti Web che utilizzano Elementor aperti a un’esecuzione di codice in modalità remota grazie alla quale un utente malintenzionato è in grado di controllare essenzialmente il sito Web interessato ed eseguire vari comandi.
Il tipo di vulnerabilità è descritto come caricamento illimitato di file di tipo pericoloso. Questo tipo di vulnerabilità è un exploit in cui un utente malintenzionato è in grado di caricare file dannosi che a loro volta consentono all’utente malintenzionato di eseguire comandi sul server del sito Web interessato.
Questo tipo di problema è generalmente descritto in questa maniera:
“Il prodotto consente all’aggressore di caricare o trasferire file di tipo pericoloso che possono essere elaborati automaticamente all’interno dell’ambiente del prodotto.”
Wordfence descrive questa specifica vulnerabilità:
“Il plug-in Elementor Website Builder … per WordPress è vulnerabile all’esecuzione di codice remoto tramite caricamento di file in tutte le versioni fino alla 3.18.0 inclusa tramite la funzionalità di importazione dei modelli.
Ciò consente agli aggressori autenticati, con accesso a livello di collaboratore e superiore, di caricare file ed eseguire codice sul server.
Wordfence indica inoltre che non esiste una patch per risolvere questo problema e consiglia di disinstallare Elementor.
“Nessuna patch nota disponibile. Esamina in modo approfondito i dettagli della vulnerabilità e adotta soluzioni di mitigazione in base alla tolleranza al rischio della tua organizzazione. Potrebbe essere meglio disinstallare il software interessato e trovare un sostituto.”
Elementor ha rilasciato oggi un aggiornamento alla versione 3.18.1. Non è chiaro se questa patch risolva la vulnerabilità poiché il sito Wordfence attualmente afferma che la vulnerabilità non è stata corretta.
Il log delle modifiche descrive questo aggiornamento:
“Correzione: migliore applicazione della sicurezza del codice nel meccanismo di caricamento file”
Questa è una vulnerabilità segnalata di recente e i fatti potrebbero cambiare. Wordfence avverte però che gli hacker stanno già attaccando i siti web di Elementor perché la loro versione a pagamento ha già bloccato undici tentativi di hacking al momento della pubblicazione dell’annuncio.
Leggi l’avviso di Wordfence:
Più di 17.000 siti Web WordPress sono stati compromessi nel mese di settembre 2023 da un malware noto come Iniettore di ballatequasi il doppio del numero di rilevamenti di agosto.
Di questi, si dice che 9.000 siti web siano stati infiltrati utilizzando una falla di sicurezza recentemente rivelata nel plugin tagDiv Composer (CVE-2023-3169Punteggio CVSS: 6.1) potrebbe essere sfruttati da parte di utenti non autenticati per eseguire scripting cross-site memorizzati (XSS) attacca.
“Questa non è la prima volta che la banda di Balada Injector prende di mira le vulnerabilità nei temi premium di tagDiv”, ha affermato Denis Sinegubko, ricercatore di sicurezza di Sucuri. disse.
“Una delle prime massicce iniezioni di malware che potremmo attribuire a questa campagna ha avuto luogo durante l’estate del 2017, quando i bug di sicurezza divulgati nei temi WordPress di Newspaper e Newsmag sono stati attivamente abusati.”
Decifrare il codice: scopri come gli aggressori informatici sfruttano la psicologia umana
Vi siete mai chiesti perché l’ingegneria sociale è così efficace? Immergiti in profondità nella psicologia degli aggressori informatici nel nostro prossimo webinar.
Balada Injector è un’operazione su larga scala scoperto per primo da Doctor Web nel dicembre 2022, in cui gli autori delle minacce sfruttano una serie di difetti dei plugin di WordPress per implementare una backdoor Linux su sistemi vulnerabili.
IL Scopo principale dell’impianto è quello di indirizzare gli utenti dei siti compromessi a pagine di supporto tecnico fasulle, vincite fraudolente alla lotteria e truffe con notifiche push. Più di un milione di siti web sono stati colpiti dalla campagna dal 2017.
Gli attacchi che coinvolgono Balada Injector si manifestano sotto forma di ondate di attività ricorrenti che si verificano ogni due settimane, con un aumento delle infezioni rilevato il martedì successivo all’inizio di un’ondata durante il fine settimana.
L’ultima serie di violazioni prevede lo sfruttamento di CVE-2023-3169 per iniettare uno script dannoso e infine stabilire un accesso persistente ai siti caricando backdoor, aggiungendo plugin dannosi e creando amministratori di blog non autorizzati.
Storicamente, questi script hanno preso di mira gli amministratori dei siti WordPress che hanno effettuato l’accesso, poiché consentono all’avversario di eseguire azioni dannose con privilegi elevati tramite l’interfaccia di amministrazione, inclusa la creazione di nuovi utenti amministratori che possono utilizzare per attacchi successivi.
La natura in rapida evoluzione degli script è evidenziata dalla loro capacità di inserire una backdoor nei siti web 404 pagine di errore che sono in grado di eseguire codice PHP arbitrario o, in alternativa, sfruttare il codice incorporato nelle pagine per installare un plug-in wp-zexit dannoso in modo automatizzato.
Sucuri lo ha descritto come “uno dei tipi di attacco più complessi” eseguiti dallo script, dato che imita l’intero processo di installazione di un plugin da un file di archivio ZIP e di attivazione.
La funzionalità principale del plugin è la stessa della backdoor, ovvero eseguire il codice PHP inviato in remoto dagli autori delle minacce.
Le ondate di attacchi più recenti osservate alla fine di settembre 2023 comportano l’uso di iniezioni di codice randomizzato per scaricare e lanciare un malware di seconda fase da un server remoto per installare il plug-in wp-zexit.
Vengono utilizzati anche script offuscati che trasmettono i cookie del visitatore a un URL controllato dall’attore e recuperano in cambio un codice JavaScript non specificato.
“Il loro posizionamento nei file dei siti compromessi mostra chiaramente che questa volta, invece di utilizzare la vulnerabilità tagDiv Composer, gli aggressori hanno sfruttato le loro backdoor e utenti amministratori dannosi che erano stati impiantati dopo attacchi riusciti contro gli amministratori dei siti Web”, ha spiegato Sinegubko.
