Un attacco su larga scala sta colpendo le installazioni WordPress in giro per il mondo. L’attacco è cominciato con l’infezione dei blog WordPress ospitati sui server DreamHost, tanto che inizialmente si pensava che il problema fosse relativo solo a questo provider.
Il problema si è poi esteso a numerosi altri fornitori di servizi host (Heise Security riporta GoDaddy, Bluehost e Media Temple) tuttavia non sta colpendo indiscriminatamente tutte le installazioni WordPress nel mondo. Da quest’ultimo particolare si deduce che l’attacco non sfrutti una falla di WordPress ma piuttosto un baco di PHP, come anche confermato da alcuni infezioni simili riscontrate in altri software basati sul medesimo linguaggio.
L’infezione inserisce uno script JavaScript nelle pagine WordPress con l’intento di installare malware sul computer del visitatore. Lo stesso script è in grado di ingannare anche il Safe Browsing di Google usato da Firefox e Chrome, meccanismo che dovrebbe mettere in guardia l’utente quando viene contattata una pagina contenente codice malevolo. Quando i bot di ricerca Google incontrano le pagine infette, lo script riconosce che non si tratta di un vero browser e si comporta da “bravo ragazzo”, in modo che non venga rilevata nessuna attività sospetta.
Aspettando che i ragazzi di WordPress pongano rimedio al bug (o chiunque sia il responsabile della falla da correggere) tutti i possessori di un blog self-hosted dovrebbero dare un’occhiata al contenuto del proprio “footer.php“: se vi trovate un blocchetto codificato in Base64 di troppo allora si può provare la soluzione proposta dal blog Sucuri Security. O meglio ancora reinstallare tutto e ripristinare un backup precedente e “sicuro”.