{"id":53742,"date":"2019-03-12T16:22:32","date_gmt":"2019-03-12T15:22:32","guid":{"rendered":"http:\/\/www.alground.com\/site\/?p=53742"},"modified":"2020-03-18T23:04:47","modified_gmt":"2020-03-18T22:04:47","slug":"ecommerce-wordpress-attacco","status":"publish","type":"post","link":"https:\/\/alground.com\/site\/ecommerce-wordpress-attacco\/53742\/","title":{"rendered":"E-commerce WordPress sotto attacco. 20mila siti a rischio"},"content":{"rendered":"<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_82_2 counter-hierarchy ez-toc-counter ez-toc-grey ez-toc-container-direction\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Punti chiave<\/p>\n<label for=\"ez-toc-cssicon-toggle-item-69f6f73b0a218\" class=\"ez-toc-cssicon-toggle-label\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #999;color:#999\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewBox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #999;color:#999\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewBox=\"0 0 24 24\" version=\"1.2\" baseProfile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/label><input type=\"checkbox\"  id=\"ez-toc-cssicon-toggle-item-69f6f73b0a218\"  aria-label=\"Toggle\" \/><nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/alground.com\/site\/ecommerce-wordpress-attacco\/53742\/#COME_FUNZIONA_LA_VULNERABILITA\" >COME FUNZIONA LA VULNERABILIT\u00c0<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/alground.com\/site\/ecommerce-wordpress-attacco\/53742\/#COME_GLI_HACKER_STANNO_SFRUTTANDO_IL_BUG\" >COME GLI HACKER STANNO SFRUTTANDO IL BUG<\/a><\/li><\/ul><\/nav><\/div>\n\n<p>I siti di e-commerce basati su WordPress sono sotto attacco da parte di un gruppo di hacker che sfrutta una vulnerabilit\u00e0 in un plugin dedicato ai carrelli abbandonati.<\/p>\n\n\n\n<p>Gli hacker puntano a siti WordPress che utilizzano &#8220;Abandoned Cart Lite for WooCommerce&#8221;, un plug-in installato su oltre 20.000 siti, secondo il repository ufficiale dei plugin di WordPress.<\/p>\n\n\n\n<blockquote style=\"text-align:center\" class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\"><p><strong><a href=\"https:\/\/algroundhosting.com\/assistenza-wordpress-tecnica-grafica\/\">Il tuo e-commerce o sito in WordPress \u00e8 sotto attacco?<\/a><\/strong><\/p><p><strong><a href=\"https:\/\/algroundhosting.com\/assistenza-wordpress-tecnica-grafica\/\">Chiedi ai nostri esperti. Attivi in poche ore<\/a><\/strong><\/p><\/blockquote>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"COME_FUNZIONA_LA_VULNERABILITA\"><\/span>COME FUNZIONA LA VULNERABILIT\u00c0<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Questo attacco \u00e8 uno di quei rari casi in cui una vulnerabilit\u00e0 di tipo cross-site scripting (XSS) abbastanza banale e solitamente innocua pu\u00f2 effettivamente portare a hack gravi. <\/p>\n\n\n\n<p>Il plug-in, come suggerisce il nome, consente agli amministratori del sito di visualizzare i carrelli della spesa abbandonati, che si generano quando un utente carica dei prodotti ma non completa l&#8217;acquisto.<\/p>\n\n\n\n<p>Questi elenchi di carrelli abbandonati sono accessibili solo nel backend del sito WordPress e in genere solo per gli amministratori o altri utenti con account con privilegi elevati.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"COME_GLI_HACKER_STANNO_SFRUTTANDO_IL_BUG\"><\/span>COME GLI HACKER STANNO SFRUTTANDO IL BUG<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Secondo una analisi del ricercatore di sicurezza Defiant Mikey Veenstra, gli hacker hanno iniziato a generare carrelli abbandonati che contengono prodotti con nomi appositamente calcolati.<\/p>\n\n\n\n<p>I pirati aggiungono il codice malevolo in uno dei campi del carrello, quindi lasciano il sito, un&#8217;azione che porta all&#8217;archiviazione del codice compromesso nel database del negozio, proprio in virt\u00f9 del plugin.<\/p>\n\n\n\n<p>Quando un amministratore accede al back-end del negozio per visualizzare un elenco di carrelli abbandonati, il codice degli hacker viene eseguito non appena una particolare pagina di back-end viene caricata sullo schermo dell&#8217;utente.<\/p>\n\n\n\n<p>Il codice \u00e8 scritto in JavaScript e installa due virus backdoor diversi sui siti che eseguono il plugin vulnerabile.<\/p>\n\n\n\n<blockquote style=\"text-align:center\" class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\"><p><strong><a href=\"https:\/\/algroundhosting.com\/assistenza-wordpress-tecnica-grafica\/\">Il tuo sito WordPress \u00e8 colpito da un virus? Interveniamo per ripulire completamente la tua piattaforma. Contattaci<\/a><\/strong><\/p><\/blockquote>\n\n\n\n<p>La prima backdoor prende la forma di un nuovo account amministratore creato dagli hacker sul sito.\u00a0Questo nuovo utente amministratore \u00e8 denominato &#8220;woouser&#8221;, e registrato con l&#8217;indirizzo email &#8220;woouser401a@mailinator.com&#8221; e utilizza una password di &#8220;K1YPRka7b0av1B&#8221;.<\/p>\n\n\n\n<p>La seconda backdoor \u00e8 molto intelligente, e sfrutta una tecnica che \u00e8 stata vista raramente. Il codice dannoso cerca tutti i plug-in del sito e individua il primo che \u00e8 stato disabilitato dall&#8217;amministratore del sito.<\/p>\n\n\n\n<p>Gli hacker non lo riattivano, ma sostituiscono il contenuto del suo file principale con uno script dannoso che funge da backdoor per l&#8217;accesso futuro.\u00a0<\/p>\n\n\n\n<p>Il plugin rimarr\u00e0 disattivato, ma poich\u00e9 i suoi file sono ancora sul disco e raggiungibili dalle richieste web, gli hacker possono inviare istruzioni dannose a questa seconda backdoor nel caso in cui i proprietari dei siti rimuovano l&#8217;account &#8220;woouser&#8221;.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>I siti di e-commerce basati su WordPress sono sotto attacco da parte di un gruppo di hacker che sfrutta una vulnerabilit\u00e0 in un plugin dedicato ai carrelli abbandonati. Gli hacker puntano a siti WordPress che utilizzano &#8220;Abandoned Cart Lite for WooCommerce&#8221;, un plug-in installato su oltre 20.000 siti, secondo il repository ufficiale dei plugin di [&hellip;]<\/p>\n","protected":false},"author":3,"featured_media":53743,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"pmpro_default_level":"","footnotes":""},"categories":[387,359],"tags":[],"class_list":{"0":"post-53742","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-guide-sicurezza","8":"category-editoriali","9":"pmpro-has-access"},"aioseo_notices":[],"jetpack_featured_media_url":"https:\/\/alground.com\/site\/wp-content\/uploads\/2019\/03\/wordpress-virus.jpeg","wps_subtitle":"20mila siti Wordpress esposti ad una falla che coinvolge i carrelli abbandonati. Una tecnica sofisticata che porta i pirati al controllo del sito","_links":{"self":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/posts\/53742","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/comments?post=53742"}],"version-history":[{"count":0,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/posts\/53742\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/media\/53743"}],"wp:attachment":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/media?parent=53742"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/categories?post=53742"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/tags?post=53742"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}