Recentemente, una serie di plug-in per WordPress è stata ritirata dalle piattaforme ufficiali dopo la scoperta di una backdoor nel loro codice. Questa vulnerabilità è stata utilizzata per distribuire codice malevolo ai siti web che si affidavano a tali estensioni. La minaccia è emersa a seguito dell'acquisizione di questi plug-in da parte di un nuovo proprietario aziendale, generando nuove preoccupazioni sulla sicurezza.
Il caso Essential Plugin e l'attacco alla catena di fornitura
Austin Ginder, fondatore di Anchor Hosting, ha segnalato l'incidente tramite un post sul blog, descrivendo un attacco alla catena di fornitura che ha colpito Essential Plugin, un noto sviluppatore di estensioni per WordPress.
Ginder ha spiegato che, subito dopo l'acquisto di Essential Plugin, è stata inserita una backdoor che è rimasta dormiente fino al suo recente attivarsi, iniziando a distribuire codice malevolo a numerosi siti web. Secondo le dichiarazioni di Essential Plugin, l'azienda vanta oltre 400.000 installazioni di plug-in e più di 15.000 clienti, indicando una vasta portata del potenziale compromesso.
La pagina ufficiale di installazione dei plug-in di WordPress conferma che le estensioni compromesse sono presenti su oltre 20.000 installazioni attive. Questo incidente evidenzia una grave vulnerabilità per i proprietari di siti web che estendono le proprie funzionalità tramite plug-in, spesso ignari dei cambiamenti di proprietà che possono esporli a rischi di attacchi di acquisizione da parte di nuovi gestori malintenzionati.
Un altro allarme: il caso Smart Slider 3
Un'altra minaccia significativa riguarda il popolare plug-in Smart Slider 3, utilizzato sia su WordPress che su Joomla, recentemente sfruttato per distribuire malware. I manutentori di Nextendweb hanno emesso un avviso di sicurezza, spiegando che attori malintenzionati hanno violato il sistema di distribuzione degli aggiornamenti, compromettendo la versione Pro del plug-in con "molteplici backdoor e livelli di persistenza". Questa versione "avvelenata" è stata distribuita come aggiornamento a oltre 800.000 siti web. Agli utenti è stato consigliato di aggiornare immediatamente a una versione pulita per scongiurare ulteriori infezioni.
Le backdoor inserite consentivano l'esecuzione di comandi di sistema da remoto e l'esecuzione arbitraria di codice PHP, evidenziando una grave falla nella sicurezza dei siti che utilizzano questi strumenti per estendere le loro funzionalità.
Consigli e misure di sicurezza per gli utenti
Di fronte a queste scoperte, è fondamentale che i proprietari di siti WordPress verifichino attentamente la presenza di plug-in compromessi e procedano alla loro immediata rimozione. Sebbene i plug-in malevoli siano stati rimossi dalla directory ufficiale di WordPress, Ginder esorta gli utenti a controllare le proprie installazioni, consultando le liste di plug-in compromessi fornite negli avvisi di sicurezza.
Gli esperti di sicurezza raccomandano inoltre di non affidarsi ciecamente agli aggiornamenti automatici e di monitorare regolarmente i cambiamenti relativi ai plug-in in uso. La proprietà e la gestione dei software possono infatti mutare, introducendo il rischio di compromettere migliaia di sistemi.
Questi recenti incidenti sottolineano l'urgente necessità di una maggiore consapevolezza in materia di sicurezza informatica nella gestione dei plug-in e nella loro integrazione nei sistemi esistenti. L'adozione di una pratica di aggiornamento e verifica costante, unita a una supervisione attenta dell'origine e della proprietà dei software, rappresenta una strategia essenziale per mitigare i rischi associati e proteggere l'integrità dei siti web.
