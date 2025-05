Una nuova minaccia informatica sta mettendo a rischio migliaia di siti WordPress, sfruttando un falso plugin dannoso mascherato da strumento di sicurezza. Questo sofisticato attacco, individuato dai ricercatori di Wordfence, permette agli aggressori di mantenere un accesso persistente ai siti compromessi, eseguire codice arbitrario da remoto e iniettare script JavaScript dannosi nelle pagine web. Ciò che rende questa minaccia particolarmente insidiosa è la sua capacità di nascondersi completamente dall'interfaccia amministrativa di WordPress, rendendo difficile la sua individuazione.

Meccanismo di infezione e persistenza

L'infezione, inizialmente rilevata a gennaio 2025, sfrutta una modifica al file critico wp-cron.php, che consente l'installazione automatica di un plugin malevolo denominato "WP-antymalwary-bot.php". Tra i file dannosi individuati figurano anche addons.php, wpconsole.php, wp-performance-booster.php e scr.php. La resilienza di questa minaccia è allarmante: anche se un amministratore rimuove il plugin, il file wp-cron.php alterato lo ripristina automaticamente durante la successiva visita al sito.

Gli esperti ritengono che l'infezione iniziale possa derivare da account di hosting compromessi o credenziali FTP sottratte agli amministratori. Questo evidenzia la necessità di rafforzare le misure di sicurezza WordPress per prevenire simili attacchi.

Origine e funzionalità dell'attacco

Sebbene i dettagli sui responsabili siano limitati, è stato individuato un server di comando e controllo situato a Cipro. Questo attacco presenta somiglianze con una campagna malware alla supply chain verificatasi nel giugno 2024. Una volta attivato, il malware stabilisce un accesso privilegiato attraverso una backdoor, sfruttando un parametro URL specifico che, se contiene una password predeterminata, consente l'estrazione di un account amministrativo dal database.

Il malware crea inoltre un canale API non autenticato, permettendo l'inserimento di codice PHP arbitrario nei file header.php dei temi attivi, la cancellazione delle cache dei plugin e l'esecuzione di ulteriori comandi. Queste capacità rendono l'attacco estremamente pericoloso, aumentando la vulnerabilità dei siti colpiti a ulteriori compromissioni.

Evoluzione della minaccia e contromisure

Le versioni più recenti del malware mostrano una capacità avanzata di decodificare contenuti JavaScript in formato base64 e inserirli nell'intestazione HTML dei siti, potenzialmente per visualizzare pubblicità indesiderate, contenuti spam o reindirizzamenti dannosi. Questo sottolinea l'importanza di adottare misure preventive e reattive per proteggere i siti WordPress.

Per mitigare il rischio, gli amministratori sono invitati a controllare con urgenza la presenza di file sospetti e verificare eventuali modifiche non autorizzate ai file wp-cron.php e header.php. È consigliabile esaminare i log del server per individuare termini come "emergency_login", "check_plugin", "urlchange" o "key", che potrebbero indicare una compromissione in corso. Un'azione tempestiva può fare la differenza nel contenere i danni e prevenire ulteriori attacchi.