Proteggere WordPress dagli skimmer web

16 Gennaio 2025 Salvatore Lombardo Analisi tecnica, Cybersecurity, Evidenza 0

Come noto gli skimmer web rappresentano una minaccia crescente per i siti di e-commerce, in particolare per le pagine di checkout su piattaforma Magento. Tuttavia ultimamente i ricercatori di sicurezza Sucuri hanno rilevato un sito WordPress compromesso con iniettato codice JavaScript dannoso nel database del CMS per rubare informazioni sensibili sui pagamenti.

La scoperta dello skimmer web

L’azienda di sicurezza ha affermato di aver scoperto il malware incorporato nella tabella wp_options di WordPress con l’opzione “widget_block“, consentendo così di eludere il rilevamento e di persistere sul sito compromesso. In pratica il codice JavaScript dannoso è stato inserito in un widget a blocchi HTML tramite il pannello di amministrazione di WordPress (wp-admin > widget).

Fonte Sucuri

L’algoritmo malevolo

Secondo l’analisi, l’algoritmo attiverebbe lo script solo nelle pagine di checkout, verificando se l’URL della pagina contiene la parola “checkout” e riducendo in tal modo la visibilità del malware. Una volta attivato, creerebbe dinamicamente un modulo di pagamento falso oppure intercetterebbe i dati inseriti nei moduli di pagamento qualora già presenti. In tutti i casi i dati rubati (offuscati tramite la crittografia AES-CBC e la codifica Base64), che includono numeri di carta di credito, date di scadenza, codici CVV e informazioni di fatturazione, verrebbero criptati e inviati ai server C2 presidiati dagli attaccanti (valhafather[.]xyz”, “fqbe23[.]xyz”).

I dati rubati vengono codificati, criptati e inviati a un server remoto controllato dall’aggressore.”, spiega Puja Srivastava analista di Sucuri, “Il malware utilizza quindi la funzione 
navigator.sendBeacon per esfiltrare i dati silenziosamente, senza interrompere l’esperienza utente.

Come proteggersi

Per proteggere il tuo sito, è fondamentale mantenere WordPress, i temi e i plugin sempre aggiornati, monitorare l’integrità del CMS per rilevare eventuali modifiche non autorizzate di contenuti/file e abilitare l’autenticazione a due fattori per l’accesso all’area amministrativa di WordPress, aggiungendo così un ulteriore livello di sicurezza.

Srivastava suggerisce, per rimuovere questo malware, di ispezionare i widget HTML personalizzati, seguendo i punti indicati:

  1. Accedere al pannello di amministrazione di WordPress.
  2. Andare su wp-admin > Aspetto > Widget .
  3. Controllare tutti i widget dei blocchi HTML personalizzati per individuare tag <script> sospetti o non familiari.
Su Salvatore Lombardo 359 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.