WordPress, WP GDPR Compliance e T2trollherten: cosa succede al tuo sito e come risolvere?

Se negli ultimi giorni i tre termini soprastanti sono entrati a far parte dei tuoi pensieri, probabilmente il tuo sito è stato hackerato. 

Grafica saltata, continui redirect a strani siti, nuovi amministratori dai nomi poco rassicuranti e possibile ban da parte di motori di ricerca, sono i sintomi principali dell’avvenuto contagio.

Con questo articolo vogliamo parlare del problema che stanno vivendo in molti nelle ultime settimane  e di come risolverlo. Il primo step? Armarsi di pazienza e individuare la porta lasciata socchiusa che ha lasciato spazio a malintenzionati.

Ma facciamo un passo indietro…

Il General Protection Data Regulation (GDPR), come ormai è noto, è un regolamento europeo nato dall’esigenza di tutelare un numero crescente di dati personali, sempre più rilevante e potente, che rappresenta ormai la nuova ricchezza di questo decennio. Iscriversi ad una newsletter o commentare un articolo sono due semplici esempi di attività con le quali il proprio indirizzo mail e IP vengano memorizzati. Il nuovo regolamento vuole quindi mettere al centro l’utente, dandogli la possibilità di accedere ai propri dati, di esportarli se non di eliminarli.

Di fronte a questo obbligo di adeguamento dei siti web, la corsa al riparo sta dando adito alla nascita di una serie di scorciatoie che, se intraprese senza attenzioni e senza il supporto di un buon “navigatore”, possono portare sulla strada più cattiva generando paradossalmente la più grande perdita di tempo nel porvi rimedio.

Difficilmente quantificabile la presenza di siti costruiti tramite il CMS WordPress e superiore a 100.000 le installazioni attive del plugin WP GDPR Compliance (consente di: aggiungere consensi dando al visitatore pieno controllo, mantenere un registro di consenso per i plugin supportati,  aggiungere checkbox, diritto di accesso tramite controllo crittografato, diritto all’oblio mediante anonimizzazione dei dati…). Uno strumento fondamentale quindi, che se non correttamente aggiornato così come l’ultima versione dello stesso WordPress, diviene il casus belli di numerosissimi siti hackerati.

Non abbiamo stime sul numero di versioni non aggiornate di entrambi, ma l’esperienza sulla frequenza con cui web master ed amministratori si preoccupano di controllare gli aggiornamenti, non fa ben sperare. Senza pensare che, proprio una norma del GDPR (per adeguarci al quale abbiamo installato il plugin in questione che ha causato l’hackeraggio) impone di segnalare al garante l’avvenuta violazione del proprio sito.

Cosa succede allora?

Provando a non entrare troppo nel tecnico, per i plugin non aggiornati all’ultima versione 1.4.3, le vulnerabilità presenti permettono a malintenzionati di ottenere un’escalation dei privilegi, che consente loro di entrare, modificare e infettare ulteriormente i siti vulnerabili.

Prima di questa versione, il plugin gestiva alcuni tipi di azioni che possono essere inviate tramite la funzione admin-ajax.php (es. la creazione di richieste di accesso ai dati, di cancellazione…). Se un utente malintenzionato invia opzioni e valori arbitrari a questo endpoint, i campi di input vengono archiviati nella tabella delle opzioni del database del sito interessato. Il plugin esegue anche una chiamata do_action () utilizzando il nome e il valore dell’opzione fornita, che può essere utilizzato dagli autori di attacchi per attivare azioni WordPress arbitrarie.

La possibilità di aggiornare valori di opzioni arbitrari viene utilizzata per installare nuovi account di amministratore sui siti interessati —> per maggiori dettagli: https://www.wordfence.com/blog/2018/11/privilege-escalation-flaw-in-wp-gdpr-compliance-plugin-exploited-in-the-wild/

Un account privilegiato, il nostro caro t2trollherten, può installare quindi un plugin o un tema dannoso contenente una shell Web o altro malware per infettare ulteriormente il sito.

In conclusione:

Se hai un sito wordpress con tale plugin installato, procedi immediatamente al suo aggiornamento!

Se è troppo tardi, ti condividiamo semplici istruzioni per iniziare a risolvere l’hackeraggio avvenuto:

  1. correggere il campo siteurl all’interno del database associato a WordPress
  2. cancellare l’utente intruso
  3. bloccare, se non necessario, la registrazione utenti o attivare appositi sistemi di controllo
  4. aggiornare o cancellare il plugin in oggetto
  5. aggiornare plugins e temi alle ultime versioni, non tenere plugin e temi non necessari, disattivarli e cancellarli al fine di prevenire altre problematicità simili
  6. cambiare password di gestione WordPress (sperando siano conosciute almeno le regole di base per una password sicura!) e di MySQL (ricordiamo che, successivamente al cambio password database, sarà necessario variare la password anche all’interno del file wp-config.php di WordPress)

Sperando che il nostro approfondimento sia stato utile,  ricordiamo i nostri corsi sull’installazione, progettazione e sviluppo di siti WordPress, quelli sulla sicurezza informatica e la nostra attività di supporto nell’adeguamento al GDPR.

Se non sai come muoverti, chiedi aiuto 😉

[page_visit_counter_md id=”1523″]