Articolo dello scorso 22 gennaio che volevo riprendere in maniera un pelo più approfondita (e localizzata in italiano), ma che per questione di tempo non ho potuto ancora fare. Lascio quindi a te la lettura della pubblicazione disponibile all’indirizzo bleepingcomputer.com/news/security/over-90-wordpress-themes-plugins-backdoored-in-supply-chain-attack, estraendone qui alcuni passaggi importanti e riportandoti sotto una lista punti da seguire in caso di necessità:
In total, threat actors compromised 40 themes and 53 plugins belonging to AccessPress, a developer of WordPress add-ons used in over 360,000 active websites. The attack was discovered by researchers at Jetpack, the creators of a security and optimization tool for WordPress sites, who discovered that a PHP backdoor had been added to the themes and plugins.
[…]
As soon as admins installed a compromised AccessPress product on their site, the actors added a new “initial.php” file into the main theme directory and included it in the main “functions.php” file.
This file contained a base64 encoded payload that writes a webshell into the “./wp-includes/vars.php” file.
Per capire se la tua installazione WordPress è stata colpita e deve essere riportata sui giusti binari, puoi:
- Verificare che nel file
wp-includes/vars.phpintorno alle linee 146-158 esistano dei richiami alla funzionewp_is_mobile_fixche includono del codice offuscato. - Cercare all’interno del tuo sistema la presenza di
wp_is_mobile_fixowp-theme-connectper capire se ci sono file affetti dalla backdoor. - Sostituire tutti i file principali della tua installazione WordPress con delle versioni pulite prese direttamente dal pacchetto di installazione scaricato dal sito web ufficiale (questo non intacca la cartella
wp-contentche contiene i tuoi file). - Aggiornare i plugin infetti e/o passare a un tema grafico differente.
- Cambiare certamente la password di accesso alla tua area
wp-admine quelle del database connesso.
Il problema non è da sottovalutare perché – come riportato nell’articolo originale – “Jetpack first detected the backdoor in September 2021, and soon after, the researchers discovered that threat actors had compromised all free plugins and themes belonging to the vendor.“. Una falla che risale a settembre dello scorso anno, certamente utilizzata per penetrare sistemi altrui e che è stata corretta ufficialmente solo lo scorso 17 gennaio (2022), c’è un articolo su Jetpack.com che spiega il tutto nel dettaglio (e fornisce versioni e software colpiti): jetpack.com/2022/01/18/backdoor-found-in-themes-and-plugins-from-accesspress-themes.
#StaySafe
Immagine di copertina: Souvik Banerjee on Unsplash
Correzioni, suggerimenti? Lascia un commento nell'apposita area qui di seguito o contattami privatamente.
Ti è piaciuto l'articolo? Offrimi un caffè! ☕ :-)
L'articolo potrebbe non essere aggiornato
Questo post è stato scritto più di 5 mesi fa, potrebbe non essere aggiornato. Per qualsiasi dubbio ti invito a lasciare un commento per chiedere ulteriori informazioni! :-)
Pillole
Le pillole sono articoli di veloce lettura dedicati a notizie, script o qualsiasi altra cosa possa essere "divorata e messa in pratica" con poco. Uno spazio del blog riservato agli articoli "a bruciapelo"!
Se vuoi leggere le altre pillole fai clic qui.
