I ricercatori di Cybersecurity della società di sicurezza web Sucuri, di proprietà di GoDaddy, hanno scoperto che un plugin inattivo ma legittimo di WordPress, Eval PHP, viene sfruttato per compromettere i siti web. Eval PHP è stato originariamente sviluppato per consentire agli utenti di aggiungere codice PHP agli articoli e ai dati dei blog; il suo ultimo aggiornamento risale a circa dieci anni fa. Da allora, ha registrato download trascurabili per un lungo periodo, prima di subire un'improvvisa impennata di download nell'ultimo mese, accumulando oltre 100.000 download con un picco di 7.000 download giornalieri.
L'avviso di Sucuri illustra le tattiche impiegate dagli hacker che utilizzano Eval PHP. Il codice crea uno script PHP nella docroot del sito web che presenta una backdoor specificata per l'esecuzione di codice remoto utilizzando la funzione file_put_contents. Poiché la backdoor sfrutta $_REQUEST[id] per acquisire il codice PHP eseguibile, può ottenere il contenuto di $_GET, $_POST e $_COOKIE, nascondendo efficacemente i propri parametri sotto forma di cookie. Sucuri sottolinea che, nonostante sia meno rilevabile di POST, GET è ugualmente pericoloso.
Inoltre, Sucuri identifica che gli hacker creano backdoor in varie bozze di post, rendendole invisibili al pubblico e più difficili da scoprire rispetto alle pagine pubblicate. WordPress non ha ancora commentato la propria politica relativa ai plugin abbandonati in risposta alle richieste di TechRadar Pro. Fino ad allora, Sucuri consiglia agli utenti di WordPress di rafforzare il proprio pannello wp-admin e di monitorare diligentemente le attività. L'organizzazione offre un piano in quattro fasi per migliorare la sicurezza:
- Assicurarsi che il proprio sito web sia sempre aggiornato e patchato in base alle ultime release di sicurezza.
- Implementare l'autenticazione a due fattori (2FA) o una misura simile di restrizione dell'accesso al pannello di amministrazione.
- Mantenere regolari backup del sito web per salvaguardarlo da incidenti imprevisti.
- Utilizzate un firewall per applicazioni web per proteggervi dai bot maligni e per applicare virtualmente le patch alle vulnerabilità conosciute.
Con la crescente adozione delle piattaforme no-code e low-code, gli sviluppatori e i responsabili aziendali possono costruire applicazioni web e mobili con facilità, evitando le complicazioni dei plugin obsoleti. Una di queste soluzioni è la piattaforma AppMaster, uno strumento no-code accessibile e scalabile per la creazione di applicazioni backend, web e mobili. AppMaster streamlines app development by negating technical debt and offering up-to-date solutions for businesses of all sizes.
Per informazioni più dettagliate su no-code e sullo sviluppo di applicazioni low-code, consultate la nostra guida completa: Guida completa su No-Code, Sviluppo di applicazioni low-code per il 2022.