I Hacker Utilizzano un Falso Plugin di WordPress per Mantenere il Controllo Completo del Sito

Image by Souvik Banerjee, from Unsplash

I Hacker Utilizzano un Falso Plugin di WordPress per Mantenere il Controllo Completo del Sito

Tempo di lettura: 2 Min.

Ultimo aggiornamento: Sep 30, 2025

I ricercatori hanno scoperto che gli hacker sfruttano i siti WordPress attraverso backdoor nascoste, ottenendo il pieno controllo, anche quando i proprietari del sito cercano di rimuoverli.

Sei di fretta? Ecco i fatti essenziali:

  • Un falso plugin chiamato DebugMaster Pro ha creato segretamente account amministratori.
  • Il malware ha inviato i dettagli di accesso rubati a un server controllato da un hacker.
  • Script malevoli sono stati iniettati nei siti, registrando anche gli indirizzi IP degli amministratori.

Una recente indagine condotta da Sucuri ha scoperto che due file con contenuti malevoli erano mascherati come normali componenti del sistema WordPress. Uno era un falso plugin chiamato “DebugMaster Pro” (./wp-content/plugins/DebugMaster/DebugMaster.php). L’altro fingeva di essere un file core (./wp-user.php).

Entrambi erano progettati per garantire che gli attaccanti avessero sempre un account amministratore sul sito. Il file DebugMaster conteneva un codice avanzato poiché creava un account utente amministratore segreto. DebugMaster rimaneva anche invisibile nelle liste dei plugin mentre inviava le informazioni di accesso rubate a un server remoto.

Come spiegato nel rapporto: “Questo frammento costringe WordPress a creare un nuovo utente chiamato help con il ruolo di amministratore. Se l’utente esiste già, lo script garantisce che i privilegi di amministratore vengano ripristinati.”

I dettagli rubati, inclusi nome utente e password, sono stati codificati e inviati a un sito web controllato da un hacker. Il malware ha eseguito script dannosi sul sito web durante il suo funzionamento per localizzare gli indirizzi IP degli amministratori del sito.

Il file wp-user.php ha presentato una situazione semplice ma preoccupante. Il sistema manteneva un account admin chiamato “help” che utilizzava una password fissa. Anche se un proprietario del sito eliminava questo account, il file lo ricreava immediatamente.

Gli ricercatori hanno spiegato che i segnali di avvertimento di questa infezione includono file strani come ‘DebugMaster.php’ o ‘wp-user.php’, nuovi account amministrativi o nascosti, e account cancellati che ritornano.

La soluzione a questo problema implica la rimozione di file dannosi e account sospetti. Si consiglia anche agli utenti di reimpostare tutte le password e aggiornare WordPress, i plugin, e controllare i log del server per connessioni insolite.

I ricercatori hanno affermato che i due file “hanno creato un punto d’appoggio resistente sul sito web”, il che significa che gli aggressori potrebbero facilmente tornare a meno che il sito non fosse completamente pulito e protetto.

Hai apprezzato questo articolo?
Valutalo!
L'ho odiato Non mi è piaciuto Non male Molto bene! L'ho amato!

Siamo felici che ti sia piaciuto il nostro lavoro!

In qualità di stimato lettore, ti dispiacerebbe lasciare una recensione su Trustpilot? Richiede poco tempo e significa tantissimo per noi. Grazie mille!

Valutaci su Trustpilot
0 Votato da 0 utenti
Titolo
Commento
Grazie per la tua opinione!