Presi di mira gli utenti di WordPress con plugin malevoli

Oltre alla celeberrima piattaforma per la gestione dei contenuti (CMS, Content Management System), utilizzata soprattutto per la realizzazione di blog, WordPress mette a disposizione degli utenti un servizio di hosting dei loro siti web (raggiungibile all’indirizzo wordpress.org). I tecnici di WordPress hanno comunicato di aver dovuto resettare tutte le password degli utenti registrati al servizio in seguito al rilevamento di un’attività anomala ricollegabile all’azione di un gruppo di aggressori.

Al momento non sono stati resi noti molti dettagli sull’accaduto, che è ancora in fase d’investigazione. Ciò che si sa è che alcuni malintenzionati avrebbero applicato delle modifiche ad alcuni plugin per WordPress offerti sul sito ufficiale del progetto. I plugin alterati all’interno del repository di WordPress sarebbero piuttosto popolari ed includerebbero nomi quali AddThis, WPtouch e W3 Total Cache.

Matt Mullenweg, fondatore di Automattic, società che può essere considerata come madre del progetto WordPress, ha spiegato che alcuni malintenzionati avrebbero inserito delle backdoor all’interno dei plugin citati. Come sia potuto accadere non è dato sapere visto che le modifiche non sono state ovviamente operate dai legittimi autori dei rispettivi plugin.

“Se utilizzate WordPress ben sapete che la piattaforma include una completa e potente interfaccia di amministrazione, protetta mediante password ed accessibile attraverso un URL del tipo nomedelsito.abc/wp-admin“, ha commentato Paul Ducklin, ricercatore presso Sophos. “Una sorta di backdoor inserita in un componente di WordPress mira ad offrire una funzionalità nota utilizzando però URL modificati ed una password d’accesso conosciuta dal malintenzionato“. Per questo Mullenweg ha immediatamente consigliato agli utenti che utilizzino i plugin citati di reinstallarli (le versioni online sono state corrette), soprattutto nel caso in cui li dovessero avere applicati da qualche giorno a questa parte.
Il suggerimento è poi quello di non usare la stessa password per più siti differenti e di non ripristinare la vecchia password utilizzata precedentemente al “reset” forzoso.

In ogni caso, appare chiaro che in qualche modo gli aggressori debbono essere riuscito a guadagnare l’accesso all’archivio dei plugin ospitati sul sito web di WordPress modificandoli poi con l’inserimento del codice malevolo.