Non fidatevi di quella pagina Web realizzata con Wordpress. O, almeno, di quelle basate sulle versioni antecedenti alla 4.7.2 del noto Cms open source. Il motivo è semplice. Le release non aggiornate contengono diverse vulnerabilità che consentono agli hacker di modificare aspetto e informazioni delle pagine: un’operazione nota come defacement e che permette di trarre in inganno gli utenti. Secondo diverse fonti, sarebbero già almeno venti i gruppi di cybercriminali intenti a “defacciare” i siti vulnerabili. Le falle, come detto, sono state risolte con la pubblicazione della versione 4.7.2 di Wordpress, rilasciata in modo abbastanza silenzioso lo scorso 26 gennaio e la loro esistenza è stata resa nota una settimana dopo, a inizio febbraio.
Tra i bug risolti uno particolarmente grave riguardava le Api Rest, che consentono di gestire i contenuti dei siti inviando e ricevendo dati in formato Javascript Object Notation, noto anche come Json. Le Api Rest possono essere utilizzate per estrarre qualunque tipologia di informazione tramite richieste Get e Post.
Come spesso accade, non tutti hanno installato subito la patch e questo ha portato una settimana fa, a poche ore dalla pubblicazione dell’aggiornamento, al defacement di circa 67mila pagine durante quattro campagne di attacco distinte. Nel corso dei giorni però il numero è salito fino alla strabiliante cifra di 1,5 milioni, almeno secondo i calcoli di Feedjit, azienda che sviluppa un plugin di sicurezza specifico per Wordpress. I siti Web colpiti sarebbero 40mila.
Ovviamente, il problema principale che riguarda attacchi di questo genere non è solo il defacement. Gli hacker potrebbero (e probabilmente lo stanno già facendo) andare oltre e iniziare a iniettare codice maligno nelle pagine, veicolando malware e altri contenuti pericolosi per gli utenti. Secondo gli esperti di Sucuri, un’azienda di sicurezza, i malintenzionati stanno già combinando i bug nelle Api Rest con plugin come Exec-Php, Insert Php e simili, in modo da eseguire codice Php sui server che ospitano la piattaforma Wordpress.
Il consiglio di Sucuri è di disattivare immediatamente questi componenti aggiuntivi, che permettono agli utenti di inserire codice Php direttamente nei post per facilitare la personalizzazione dei contenuti.