Balada Injector sta infettando migliaia di siti WordPress

Indice dei contenuti

Condividi con:

Il tuo sito web WordPress viene reindirizzato su altri siti? Ecco Perché.

Il team di Sucuri ha identificato una nuova ondata di attacchi malware diretti contro i siti WordPress, utilizzando come punto di ingresso una vulnerabilità già nota da dicembre 2023, nel plugin Popup Builder, un plugin che vanta più di 200.000 installazioni ed è apprezzato per la sua capacità di generare pop-up moderni.

Non è la prima volta che si verifica un attacco simile: il primo episodio fu registrato già alla fine di dicembre. Nonostante gli avvisi però molti siti sono rimasti da aggiornare ed esposti così al rischio di intrusioni.

La campagna di hacking “Balada Injector” ha permesso di compromettere più di 10.000 siti web

L’utilizzo di plugin non aggiornati rappresenta un rischio notevole, principalmente perché molti utenti li installano senza essere a conoscenza delle vulnerabilità che possono portare. La mancanza di aggiornamenti regolari poi fa il resto.

Balada Injector illustra bene questa problematica ed è fondamentale sottolineare come la radice del problema NON sia WordPress in sé, ma una mancata manutenzione e aggiornamento regolare dei plugin.

Popup Builder come tutti i plugin non è esente da insicurezze. La falla di tipo XSS (cross-site scripting) e catalogata come CVE-2023-6000 non  venne risolta fino alla versione 4.2.3 del plugin, da dicembre ad oggi ha colpito più di 10.000 siti WordPress, sottolineando la scarsa attenzione alla sicurezza da parte di Amministratori, Web Agency e Clienti finali.

Come già successo in precedenza, anche in questo caso è stata sfruttata la vulnerabilità nel codice dei Popup, più precisamente di un evento Javascript che consentiva si eseguire codice malevolo sul sito, apportando modifiche indesiderate a vari livelli.

Il malware, viene inserito nelle sezioni Custom CSS o JavaScript dell’interfaccia di amministrazione del sito, per poi essere salvato all’interno di una tabella del database. Il codice si attiva quindi all’apertura o alla chiusura dei pop-up da parte del plugin, portando spesso al reindirizzamento dei visitatori verso siti di phishing o et similia.

L’aggiornamento del plugin alla sua ultima versione disponibile (la 4.2.7) è fortemente consigliato per prevenire nuovi attacchi. Tuttavia, nei casi in cui il malware sia già stato iniettato, gli amministratori dovranno non solo aggiornare il plugin, ma anche rimuovere le sezioni ormai infette dal database del sito.

 

Hardweb.it

Cerchi un servizio di assistenza e manutenzione professionale per il tuo sito web WordPress / WooCommerce?