Il nostro Site Scanner ha salvato migliaia di siti WordPress da un massiccio attacco alla sicurezza

A metà Giugno abbiamo lanciato il nostro servizio Site Scanner aggiornato. Non sapevamo in quel momento quanto presto avremmo visto la nuova funzionalità in piena azione. Solo pochi mesi dopo l’aggiornamento, Site Scanner ha salvato migliaia di siti WordPress da un attacco ben camuffato, con l’obiettivo di reindirizzare il traffico verso siti falsi attraverso un plugin chiamato Zend Fonts. Immagina i danni alla tua reputazione e attività che un hack come questo avrebbe potuto causare. Scopri come questo eroe chiamato Site Scanner ha salvato la situazione.

Come funziona il “falso plugin Zend Fonts”?

L’attacco ha si basava sul caricamento di un plugin falso chiamato Zend Fonts attraverso una backdoor. Una volta caricato, il plugin infetto reindirizzava i visitatori del sito verso siti contraffatti senza che il proprietario del sito lo sospettasse. Il file del plugin caricato si presentava così:

./wp-content/plugins/zend-fonts-wp/zend-fonts-wp.php

Ciò che rende l’attacco davvero dannoso è che questo file era nascosto dall’elenco dei plugin wp-admin o wp-cli, il che rendeva difficile per gli amministratori WP individuarlo, a causa della seguente funzione:

//hide plugin
add_filter('all_plugins', 'hide_plugins');
function hide_plugins($plugins) {
        unset($plugins['zend-fonts-wp/zend-fonts-wp.php']);
        return $plugins;
}

Inoltre era configurato per attivare il reindirizzamento solo se al sito web accedeva un utente normale, non l’amministratore o l’editor del sito:

//do redirect if user from REF and NOT Admin
        if(isset( $_SERVER['HTTP_REFERER']) && !$isAdmin){
                redirect();
        }

Tutti questi fattori rendono l’attacco praticamente invisibile per i proprietari/editor del sito, mentre i normali visitatori venivano reindirizzati a siti truffaldini. Questo hack avrebbe potuto facilmente comportare perdite significative delle vendite, danni alla reputazione e altri problemi come un pessimo posizionamento nei motori di ricerca.

In che modo SiteGround ha rilevato l’attacco?

I nostri sistemisti monitorano il carico e il comportamento dei nostri server 24/7 e subito dopo il lancio di questo exploit, abbiamo visto un numero stranamente elevato di file dannosi rilevati dal nostro servizio Site Scanner. I nostri sistemisti hanno iniziato a indagare ulteriormente e hanno individuato uno schema: si era verificato un tentativo di caricamento massiccio del falso plugin Zend Fonts che interessava a quel tempo circa 2000 installazioni WordPress dei nostri clienti.

In che modo Site Scanner protegge i siti che lo utilizzano?

Di solito, in attacchi come quello di Zend Fonts, per i siti con Site Scanner Basic, le segnalazioni vengono ricevute in meno di 24 ore dal rilevamento del malware (subito dopo la scansione giornaliera programmata) e per quelli con Site Scanner Premium, si riceve un avviso immediatamente dopo il (tentato) caricamento, dando ai nostri clienti l’opportunità di reagire rapidamente ed eliminare i file dannosi prima che possano causare danni.

Inoltre, per i siti con Site Scanner Premium in cui è attiva la quarantena dei file, i file non raggiungono mai i siti attaccati: vengono messi in quarantena in modo sicuro affinché i proprietari dei siti possano esaminarli ed eliminarli quando opportuno. La quarantena blocca efficacemente l’attacco e protegge i siti da tentativi di hacking e dall’impatto che ne deriverebbe. E la parte migliore è che i proprietari del sito non devono fare nulla.

Utilizzo dei dati di Site Scanner per proteggere tutti i clienti

Una volta che i nostri sistemisti hanno rilevato che il caricamento del plugin Zend Fonts non era qualcosa di isolato, ma stava avvenendo sull’intera piattaforma, hanno eliminato tutti i file dannosi dai nostri server. Inoltre, i nostri ingegneri hanno aggiunto una nuova regola al nostro Web Application Firewall (WAF) per prevenire ulteriori attacchi verso altri siti WordPress ospitati presso di noi.

Siamo molto entusiasti di vedere come il nostro servizio Site Scanner stia proteggendo attivamente i siti da una serie di attacchi davvero pericolosi. Per attacchi massicci su larga scala come quello del plugin Zend Fonts, Site Scanner ci aiuta a rilevare uno schema e intraprendere azioni per proteggere tutti i nostri clienti implementando le regole WAF o migliorando il nostro sistema di monitoraggio. Anche se questo è qualcosa che continueremo a fare, l’aggiornamento di un sistema a livello di piattaforma richiede del tempo e non include attacchi malware più piccoli e specifici per singolo sito web. Se desideri avere un rilevamento precoce e completo dei malware per il tuo sito, ti consigliamo vivamente di attivare uno dei nostri piani Site Scanner. E se stai cercando non solo di rilevare, ma anche di fermare in modo proattivo gli attacchi malware, attiva Site Scanner Premium che include il sistema di quarantena dei file.

Per celebrare il successo di Site Scanner, in questo #CyberSecurityMonth offriamo 3 mesi gratuiti per ogni nuova attivazione di Site Scanner (sia Basic che Premium) effettuata entro la fine di Ottobre.