Su questa pagina: [nascondere]
Le vulnerabilità e le credenziali di accesso rubate vengono utilizzate nella maggior parte degli attacchi contro i siti Web. però, esiste anche un altro rischio, e comporta l'installazione involontaria di backdoor sui siti Web.
Questo può essere fatto inducendo i proprietari di siti Web a installare una backdoor nascosta nel software del sito Web piratato, come componenti premium di terze parti sotto forma di temi o plugin di WordPress, un'estensione Magento, eccetera.
Leggi anche Il plug-in WordPress di KingComposer ha un bug XSS riflesso
Il rischio di plugin e temi piratati per WordPress
Secondo i ricercatori sulla sicurezza di Sucuri, usando incrinato (noto anche come annullato o piratato) il software dovrebbe essere una preoccupazione per i proprietari di siti Web:
Dal momento che questi tipi di software richiedono solitamente un costo per l'uso o l'installazione, i provider offrono versioni annullate o crackate che sono "gratuite" da scaricare. Ciò che gli utenti potrebbero non capire è che "gratis" potrebbe avere un prezzo di sicurezza, e i cattivi attori potrebbero essere inclini a includere alcuni file dannosi o frammenti di codice in una versione pirata.
Ovviamente, non tutto il software con cracking annullato nasconde le backdoor, ma può essere una grande opportunità per gli hacker di abbandonare le loro backdoor. Le backdoor possono essere molto difficili da rilevare. Ecco perché i ricercatori di Sucuri avvertono dei potenziali pericoli dell'accesso remoto in plugin e temi premium.
Un esempio di fornitore di plug-in e temi premium piratati si trova su thewordpressclub[.]org. I Termini e condizioni del fornitore menzionano una sezione sull'accesso remoto:
Accesso remoto
Scaricando qualsiasi file da https://www.thewordpressclub.org e installalo sul tuo sito Web WordPress, consenti a TheWordpressClub di controllare in remoto il tuo sito Web e così via :
• per modificare il codice sorgente
• per creare e / o modificare tutti i contenuti dei tipi di post (messaggi, pagine, prodotti…)
Come sottolineato dai ricercatori della sicurezza, “l'accesso remoto per questo provider è realizzato attraverso due file che sono raggruppati all'interno del download del software annullato”:
rms-script-ini.php
RMS-script-mu-plugin.php
rms-script-ini.php viene descritto come uno script dannoso responsabile dell'inizializzazione di funzioni specifiche, come la creazione di una backdoor situata in ./wp-contents / mu-plugins / rms_unique_wp_mu_pl_fl_nm.php.
inoltre, questo script è anche in grado di garantire l'accesso amministrativo agli hacker. Lo script verifica la presenza di utenti WordPress esistenti utilizzando get_users() parametro; poi, esegue query per gli utenti con privilegi di ruolo di amministratore. Finalmente, imposta il cookie wp-admin per autenticare l'accesso amministrativo per qualsiasi utente identifichi, succhi di frutta dice.
Leggi anche Come testare la sicurezza del tuo sito WordPress
Come evitare il rischio di backdoor
purtroppo, l'eliminazione dei plugin piratati di WordPress in wp-admin non sarà sufficiente, poiché gli attori delle minacce spesso includono altre funzionalità per eludere il rilevamento o nascondere gli indicatori di compromesso. Un modo per farlo è manipolare la visualizzazione CSS dell'interfaccia wp-admin in modo che il proprietario del sito Web non sia in grado di vedere i post creati sul proprio sito Web WordPress.
La migliore mitigazione contro questi rischi è semplicemente evitare tali fornitori. Il posto più sicuro per ottenere plugin è il repository ufficiale di WordPress, Conclude il succo.