Il plug-in incriminato si chiama X-WP-SPAM-SHIELD-PRO e viene proposto come antispam. Lo sviluppatore ha pensato bene, però, di inserire al suo interno elementi PHP in grado di compromettere il sito web creato con WordPress.
La falla è stata identificata dai ricercatori di Securi. A quanto pare lo sviluppatore che ha creato questo plug-in ha scelto un nome simile ad un noto plug-in che si chiama WP-SpamShield Anti-Spam traendo così in inganno gli ignari utenti e consentendo una larga diffusione del plug-in malevolo.
Il plug-in incriminato è stato distribuito su canali alternativi al sito ufficiale di WordPress.
L’analisi dei file costituenti il plug-in rivelano che i codici utilizzati hanno funzioni del tutto diverse da quelle che ci sia aspetterebbe. Il componente wp-spam-shield-pro.php, ad esempio, contiene una funzione che comunica all’autore che il plug-in è stato installato.
Approfondendo il discorso ed analizzando i file contenuti all’interno della cartella INCLUDE si scopre che il file class-social-facebook.php ha ben poco a che vedere con il noto social e contiene del codice il cui scopo è quello di comunicare al cyber criminale l’elenco dei plug-in installati dall’utente e di bloccarli; operazione, questa, che di fatto blocca il sito.
Altri due file, class-term-metabox-formatter.php e class-admin-user-profile.php, comunicano la versione di WordPress installata e l’elenco degli amministratori registrati. L’operazione si conclude tramite il file header.php che crea un nuovo amministratore denominato mw01main.
Tutta una serie di operazione, quindi, tese a prendere il controllo del sito.
Il consiglio, quindi, è di evitare di scaricare plug-in da siti non ufficiali ma di affidarsi allo store ufficiale.
