Oltre il 40% di tutti i siti web al mondo utilizza WordPress. Questo sistema di gestione dei contenuti deve la sua popolarità al codice sorgente aperto e alla possibilità di estendere le funzionalità di base del sito web tramite plugin di terze parti - ci sono oltre 59 mila plugin ufficiali attualmente disponibili.

Nella maggior parte dei casi, i plugin sono sviluppati da società di software indipendenti e da professionisti con diversi livelli di competenza e consapevolezza in materia di sicurezza. Prima di essere aggiunti alla libreria ufficiale di WordPress, i plugin vengono controllati per garantire che funzionino come previsto, ma anche che seguano le linee guida di sicurezza di WordPress. Tuttavia, nemmeno il team di revisione più efficiente è in grado di testare i plugin di WordPress sotto la lente della sicurezza informatica e garantire che siano 100% cyber sicuri. Inoltre, considerate che i plugin sono controllati solo quando vengono aggiunti per la prima volta al repository di WordPress.

Sono disponibili molti altri plugin al di fuori della library ufficiale. Nella maggior parte dei casi, si tratta di versioni craccate o alternative di plugin a pagamento, che possono essere scaricate gratuitamente ma che possono contenere backdoor. Per questi motivi, non sarete sorpresi di leggere che nel 2021 circa il 98% delle vulnerabilità riguardanti i siti WordPress sono dipese dai plugin.

Un plugin obsoleto ha causato la compromissione del sito web di uno dei nostri clienti. Durante un aggiornamento di routine dei contenuti, il suo team di marketing digitale non riusciva ad accedere al pannello di amministrazione: l'anomalia era abbastanza sospetta da richiedere prontamente un'indagine. Il team di sicurezza informatica di Paradox Engineering analizzato il caso, ha evidenziato un incidente di sicurezza informatica e ha individuato due vettori di attacco con obiettivi diversi.

Il primo attacco aveva come obiettivo quello di manipolare la home page del sito (il cosiddetto "defacement del sito web"), il secondo era probabilmente finalizzato ad ospitare un sito ecommerce nascosto per vendere merci illegali. Gli attaccanti hanno sfruttato un plugin obsoleto e vulnerabile per caricare un file di configurazione modificato, che ha innescato una nuova installazione di WordPress sul computer host. Il nuovo processo di installazione ha permesso agli attaccanti di caricare altri file dannosi per ottenere il pieno controllo del sito.

In meno di una settimana, il sito sarebbe diventato una preziosa risorsa nelle mani dei criminali informatici. Fortunatamente, la richiesta di indagine è arrivata a PE poche ore dopo il caricamento dei file dannosi, così è stato possibile impedire il defacement. L'intervento precoce ha ridotto il tempo di compromissione, completando la pulizia del sito web in poche ore.

 

case study website defacement

 

Il processo di gestione degli incidenti di Paradox Engineering si basa sulle best practices NIST per mitigare l'impatto dell'attacco e accelerare il recupero. Il primo passo consiste nel raccogliere il maggior numero possibile di dati relativi agli eventi che si sono verificati nel sistema attaccato e nell'estrarre informazioni rilevanti sui vettori di attacco. Dopo la valutazione, è importante implementare rapidamente tutte le azioni di contenimento necessarie per bloccare altri possibili movimenti di attacco. Infine, dopo il contenimento, un'indagine approfondita per trovare la causa principale è utile per definire le migliori azioni di risoluzione e mitigazione per prevenire attacchi simili in futuro.

 

7 consigli per proteggere il vostro sito web:

  1. implementare un sistema avanzato di autorizzazione e autenticazione per il backup del sito - memorizzare il backup in un luogo sicuro (non accessibile dall'istanza web) e utilizzare sempre soluzioni di backup non fornite dai plugin CMS
  2. preferire policy che seguono i principi fondamentali di "need to know" e "least privilege"
  3. installare solo i plugin strettamente necessari e cancellare regolarmente quelli che non si usano
  4. mantenere il CMS e i plugin aggiornati. Si consiglia di impostare gli aggiornamenti automatici per le patch di sicurezza e di gestire manualmente le major release
  5. avere un ambiente di staging per testare qualsiasi aggiornamento
  6. raccogliere il log degli eventi per il team di cybersecurity per rilevare le anomalie
  7. implementare un meccanismo di rilevamento delle modifiche (ad esempio, tramite hashtag) per notificare al team di cybersecurity l'accesso o la modifica sospetta del sito web

 

Scoprite di più sui nostri Cyber Security Services e contattate i nostri esperti per chiedere consulenza e consigli!