Nelle ultime settimane migliaia di siti con temi come Newspaper e Newsmag sono stati infettati. Entrambi i temi sono molto famosi e disponibili su Envato Market, con oltre 100.000 download all’attivo. Il punto in comune tra questi due temi è il loro visual editor: tagDiv Composer. Infatti Sucuri ha rilevato una vulnerabilità in questo plugin, obbligatorio per poter utilizzare in modo corretto i due temi sopracitati.
Stando a quanto riportato da un post di colui che ha scoperto la vulnerabilità, i malintenzionati stanno utilizzando questo buco per inserire sul sito web degli script malevoli che poi reindirizzeranno le pagine del sito web infetto a siti di scam. Questi siti di scam sono di natura più varia: dal finto supporto tecnico a possibilità di vincere dei soldi con la lotteria, con l’obiettivo di iscrivere gli utenti alle notifiche push del browser mostrando loro un fake catcha da compilare.
Tutte le infezioni sono strutturate in questo modo:
[php]<style id="tdw-css-placeholder"></style><script>…malicious injection…</script><style></style>[/php]ed è possibile rintracciarlo in alcune tabelle del database di WordPress, più precisamente alla voce td_live_css_local_storage della tabella wp_options.
Il problema principale è che una volta inserito il malware, l’autore dello stesso cerca di prendere il controllo del sito così da rendere difficile la rimozione. Questo avviene attraverso la creazione automatica di nuovi utenti con il ruolo di Amministratore. Quindi se per caso il tuo sito fosse stato infettato ed elimini il codice malevolo ma non gli utenti con permessi di amministratore che sono stati creati, gli script verranno nuovamente inseriti sul sito web e il malware propagherà nuovamente, rendendo inutile l’intervento.
Se il tuo sito web ha installato uno di questi due temi ti consiglio di effettuare immediatamente un controllo sugli utenti presenti e di fare una scansione del sito web con i due mgliori plugin di sicurezza oggi esistenti: Wordfence e Sucuri.
Un’altra buona pratica da seguire per mantenere il sito web sicuro è quello di aggiornare sempre la versione di WordPress, i plugins e i temi installati, così che le possibili vulnerabilità di una vecchia versione siano state già risolte dagli autori del tema o del plugin incriminato.
