WordPress, il sistema di blogging open source, è stato preso di mira da una nuova serie di attacchi informatici e non è banale accorgersi della circostanza perché l’infezione tende a diffondere un virus criptato alla totalità dei visitatori del sito web.
Chiunque faccia uso di WordPress, ospitato in un qualsiasi servizio hosting, dovrebbe fare una certa attenzione in merito, soprattutto se sono presenti temi e/o plugin pirata o anche provenienti da fonti non ufficiali o non sicure.
Che cos’è VisitorTracker e come funziona
Questo ennesimo attacco su larga scala sfrutta le carenze dal punto di vista della sicurezza dei siti web come mezzo, al fine di “bombardare” altri siti web.
Per farlo usa un apposito strumento, noto da molti anni nell’ambiente come Nuclear Exploit Kit, il quale permette di sfruttare virus polimorfici in molte varianti che approfittano delle numerose vulnerabilità di Internet Explorer, di Flash e di QuickTime e sono capaci di nascondersi agli antivirus mediante la crittografia.
Nel dettaglio, il malware in questione è in grado di redirezionare ogni singolo visitatore di un sito web realizzato con WordPress verso una pagina malevola (mediante iframe), la quale fa scattare l’infezione sul computer della vittima sfruttando varie “trappole” ed inducendo al click.
Come controllare il proprio sito WordPress
Il malware in questione è noto come VisitorTracker, e si basa sulla funzione Javascript dal nome visitorTracker_isMob().
Il modo più sicuro per controllare che il proprio sito non sia infetto, è quello di effettuare una ricerca di questa stringa all’interno di tutti file PHP della propria installazione WordPress.
Per farlo, si può usare FTP per scaricare in locale il contenuto (cioè i file) del proprio sito web e successivamente cercare eventuali occorrenze della stringa visitorTracker_isMob con la funzione Cerca del sistema operativo utilizzato.
In alternativa, è possibile trovare questa occorrenza direttamente via FTP (ad esempio con FileZilla), connettendosi come sempre al proprio sito, cliccando su “Server”, poi su “Cerca i file remoti…” inserendo la stringa sospetta nella ricerca come mostrato in figura.
Sarà quindi necessario cancellare i file infetti rilevati con questo metodo, fermo restando che la cosa migliore in caso di infezione è quella di reinstallare da zero WordPress.
Se non sono mostrate occorrenze ovviamente il sito è a posto e non è necessario fare nulla. Diversamente, è necessario ripulire la propria installazione WordPress, ovvero ripartire da quella originale, ripristinando progressivamente contenuti, plugin e l’eventuale nuovo tema.
Come proteggere un sito WordPress da VisitorTracker
Secondo il team di ricercatori di Sucuri l’infezione è piuttosto subdola e riesce a compromettere del tutto il sito web di partenza, oltre ad infettare i visitatori delle pagine.
Pertanto non esiste un vero e proprio metodo per proteggersi da questo malware, se non quello di fare più attenzione quando si installano plugin e addon nel proprio sito.
L’attenzione deve essere massima soprattutto se si installano software non provenienti da wordpress.org, il repository ufficiale e quindi unica fonte sicura ed affidabile.
Da oggi abbiamo un motivo in più per tenere WordPress sempre aggiornato, programmare backup completi da tenere sempre a portata di mano, possibilmente in locale nel proprio hard disk oppure sfruttando una soluzione di cloud backup e adottare soluzioni cloud in grado di proteggere il sito web dal malware.
Lascia un commento