Scritto da Andrea Mineo il . Postato in Blog

Erealitatea [.] Net Hack danneggia i siti web con WP GDPR Compliance

Wordpress Erealitatea hack

E’ stato verificato che un numero crescente di siti basati su WordPress hanno modificato le loro impostazioni URL in http: // erealitatea [.] Net. Ulteriori indagini hanno dimostrato che il problema è correlato a una vulnerabilità di sicurezza nel plugin WP GDPR Compliance per WordPress.

Le nuove leggi sul regolamento generale sulla protezione dei dati (GDPR) nell'UE hanno reso estremamente popolare il plug-in. Molti siti stanno cercando un modo semplice per conformarsi a queste nuove leggi e l'aggiunta di questo plugin è una soluzione facile da implementare per molti proprietari di siti web.

Gli aggressori stanno esplorando le versioni 1.4.2 e precedenti di questo plug-in per apportare alcune modifiche al database di un sito vulnerabile. Va segnalato però che tale vulnerabilità è stata corretta a novembre 2018, con il rilascio della versione 1.4.3.

Come viene infettato il sito e come riconoscere l'infezione

Il problema risiede nel cambiamento dell’URL nel database di un sito wordpress. WordPress infatti utilizza l'opzione siteurl per generare collegamenti per contenuti statici come script, CSS e immagini. Il sito Web di erealitatea [.] è attualmente inattivo, quindi i siti infetti richiedono molto tempo per essere caricati, dopo di che risultano corrotti generando una risposta 404, poiché nessuna delle risorse statiche viene caricata. Lo stesso problema si verifica se si tenta di accedere al back-end del sito, il che significa che il proprietario del sito perde completamente l'accesso e non sarà in grado nemmeno di risolvere il problema dal back-end di wordpress.

Come risolvere il problema in autonomia

Risolvere il cambiamento delle impostazioni dell'URL è piuttosto semplice.
Tutto ciò che devi fare è modificare manualmente la tabella del database del sito wp_options. Cerca un record dove option_name è uguale a "siteurl". Su quel record, troverai il dominio modificato nel campo option_value.
Basta aggiornare il campo option_value con il dominio corretto e il sito verrà caricato normalmente.
Ecco una comoda query SQL per farlo:

UPDATE `wp_options` SET option_vaue = 'http(s)://www.tuodominio.it’ WHERE option_name = 'siteurl';

Tieni presente che il nome della tua tabella potrebbe essere diverso poiché il prefisso (qui settato come 'wp_') potrebbe essere stato impostato diversamente. Consigliamo di consultare lo sviluppatore/manutentore del sito prima di intraprendere un'azione immediata in caso di dubbi e fare sempre un backup in anticipo.

La correzione di questo record del database è il modo corretto per risolvere il problema. Se non si ha familiarità con la modifica manuale del database, è possibile ottenere una soluzione definendo alcune costanti nel file wp-config.php.

Aggiungi le seguenti linee all'inizio (ma dopo l'apertura di <? Php del tuo file di configurazione:

define( 'WP_HOME', 'http(s)://www.tuodominio.it’ );
define( 'WP_SITEURL', 'http(s)://www.tuodominio.it’ );

Ricordati di cambiare http(s)://www.tuodominio.it con il tuo dominio!

È importante chiarire che questa modifica dell'URL non è l'unico attacco che viene eseguito attraverso questa vulnerabilità. Abbiamo avuto esperienza di siti che eseguono la versione compromessa di questo plugin, hanno anche alcuni utenti amministrativi malevoli, creati con diversi nomi di login.

Questo, come è facile immaginare, può avere ripercussioni gravissime sulla sicurezza del sito web.

Prevenire prima di curare

L'azione più importante da intraprendere è quella di correggere la vulnerabilità. Assicurati che il sito stia utilizzando la versione 1.4.3 o successiva del plug-in WP GDPR Compliance per restare al sicuro.

È inoltre necessario disabilitare le registrazioni degli utenti e assicurarsi che il ruolo utente predefinito non sia impostato su Amministratore. Questo può essere ottenuto deselezionando la casella in Impostazioni> Generali dalla dashboard di WordPress e modificando il ruolo predefinito per per i nuovi utenti.

In generale, uno dei modi migliori per proteggere il tuo sito web è assicurarti che tu stia utilizzando l'ultima versione dei tuoi plugin e temi. Un altro modo molto efficace per rimanere protetti è utilizzare un Web Application Firewall (WAF). La protezione WAF monitora ogni singola richiesta inviata al sito protetto, filtrando i contenuti dannosi prima che raggiungano l'attuale server di hosting.

Rivolgiti a noi

Proteggere il tuo sito e verificarne periodicamente la sicurezza è fondamentale per evitare problemi a te stesso e agli utenti. Un sito non sicuro è un sito che verrà presto abbandonato!

Siamo a disposizione sia per una verifica della sicurezza dei tuo sito sia per diagnosticare e/o riparare eventuali infezioni già avvenute.

Non esitare a contattarci e ricorda che ogni azione non sicura che potrai attuare sul tuo sito potrebbe peggiorare la situazione. Pertanto, piuttosto che danneggiare ulteriormente la tua pagina web, se dovessi essere in dubbio sui passaggi indicati nei precedenti paragrafi, contattaci e saremo a tua disposizione per aiutarti e risolvere il tuo problema!

sicurezza, wordpress, plugin

ANDREA MINEO - Sviluppo web, applicazioni PWA, android e iOS, integrazione CRM
Via Terrazzano 24, 20017 Rho - Tel: 3401822006 - P.IVA 07960390966
Il futuro è arrivato! Bisogna solo vederlo