Negli ultimi giorni abbiamo notato che il malware wp-vcd è di nuovo all’attacco di siti WordPress. Ci siamo allora un po’ informati con qualche ricerca mirata ed in effetti le cose stanno proprio così.
Si tratta di una variante del vecchio wp-vcd, questo nuovo malware aggiunge codice malevolo ai file functions.php dei temi installati ed aggiunge qualche file, ancora contenente codice malevolo, all’interno della directory wp-include.
Se non si prendono tempestivamente le contromisure necessarie il malware potrebbe creare un nuovo account amministratore nascosto chiamato 100010010. Questo nuovo account permetterebbe di aprire connessioni sul sito compromesso anche molti mesi dopo l’installazione di wp-vcd (e generalmente avviene proprio così) in modo da permettere agli hacker di utilizzarlo comodamente al momento del bisogno.
ATTENZIONE
Il malware wp-vcd sembra in questo momento preinstallato all’interno di temi premium e plugin di WordPress pirata ottenuti da fonti non sicure.
Il nostro consiglio è quindi quello di essere sempre coscienti di cosa viene installato sul proprio sito web WordPress e di farsi assistere da professionisti qualificati. Il risparmio di poche decine di Euro potrebbe avere conseguenze importanti in termini di costi e di immagine.
Cosa fare se il sito è stato compromesso
- Bloccare immediatamente il sito web in modo che non possa essere utilizzato dagli hacker ad esempio con un semplicissimo file .htaccess
- Verificare se all’interno del database sono presenti utenti sconosciuti, in particolare un utente 100010010
- Eliminare il tema o plugin ottenuto da fonti non attendibili o ripristinare da un backup il tema o plugin ATTENDIBILE
- Verificare i file del sito, sia il core di WordPress che temi e plugin aggiuntivi via ftp o facendone una copia di lavoro facendo attenzione anche alle date di modifica dei file. In particolare verificare file all’interno della directory wp-includes, generalmente il nome dei file è wp-vcd.php, wp-feed.php, wp-tmp.php, ma ce ne possono essere anche altri.
- Cercare di verificare se i file appena elencati possono essere inclusi da altri file ad esempio post.php ed eventualmente ripulire se si è in grado o ripristinare i file originali.
- Rimuovere il codice malevolo dai file functions.php dei template installati.
- Eliminare i file generati dal malware nella directory wp-includes
- Eliminare utenti sconosciuti dal database
- Cancellare eventuale cache del sito
- Rigenerare le chiavi segrete di WordPress
- Verificare quindi che i file installati corrispondano ai file originali di WordPress
- Installare un plugin di sicurezza Web Application Firewall (WAF) ed utilizzarlo per fare le opportune verifiche.
