Perché gli scanner per malware di WordPress sono inutili

Una nuova ricerca di Snicco, WeWatchYourWebsite, GridPane supportato da Automattic e PatchStack rivela che gli scanner di malware di WordPress che funzionano come plug-in in un ambiente compromesso sono fondamentalmente difettosi. Gli scanner di malware sono nella migliore delle ipotesi strumenti di pulizia per siti già compromessi. Non sono una solida linea di difesa e vengono attivamente sconfitti dal malware in circolazione in questo momento . Affida il rilevamento del malware a un host di qualità. Focalizza le tue politiche di sicurezza sulla protezione avanzata dell'autenticazione degli accessi, sulla gestione degli utenti, sulla corretta delega dei privilegi e sulla gestione vigile delle versioni.

Quindi dal 2000 in poi: gli scanner di malware hanno esaurito la loro utilità

I plug-in di rilevamento malware per WordPress risalgono al 2011 circa, quando gli attacchi SQL injection erano comuni ed efficaci. Chiunque lavori con WordPress allora ricorderà una libreria di editing di immagini ampiamente utilizzata chiamata TimThumb. È stato sottoposto a exploit zero-day con risultati orribili per milioni di siti.

Questo è stato il contesto di emergenza da cui sono nati i plugin di sicurezza di WordPress, come reazione. Alcuni plug-in di sicurezza oggi sembrano ancora Norton Security e McAfee Anti-Virus. Quelle erano popolari applicazioni di sicurezza per Windows 20-30 anni fa. Ma come disse John McAfee dopo aver lasciato la società che aveva creato, il suo scanner antivirus era stato trasformato in "bloatware". Secondo lui, era "il peggior software del mondo".

Conclusioni simili potrebbero essere tratte oggi sugli scanner di malware di WordPress sulla base delle recenti scoperte di diversi ricercatori sulla sicurezza di WordPress.

Un'illusione di sicurezza: gli scanner di malware di WordPress messi alla prova

Nella prima parte di una serie intitolata "Malware Madness: perché tutto ciò che sai sul tuo WordPress Malware Scanner è sbagliato", il ricercatore di sicurezza di WordPress Calvin Alkan (fondatore della società di sicurezza Snicco) condivide parte del suo lavoro. Alkan ha collaborato con Patrick Gallagher (CEO e co-fondatore di GridPane) e Thomas Raef (proprietario di WeWatchYourWebsite.com) per vedere se gli scanner di malware potevano essere sconfitti. Non sorprende che possano essere sconfitti, molto facilmente. Patchstack ha fornito una conferma indipendente dei risultati di Alkan.

Scanner locali: la chiamata arriva da dentro casa

Nei loro test, Alkan e i suoi collaboratori hanno prima esaminato gli scanner locali. Wordfence, WPMU Defender, la versione gratuita di All-In-One Security (AIOS) e NinjaScanner svolgono tutto il loro lavoro sullo stesso server del sito WordPress su cui sono installati. Ciò significa che gli scanner di malware utilizzano lo stesso processo PHP di WordPress e il malware che lo infetta. Non c'è nulla che impedisca al malware di interagire attivamente con lo scanner. Il malware potrebbe disabilitare qualsiasi plug-in di sicurezza che rileva, inserire nella whitelist (segnalato nel 2018) o manipolare gli scanner in modo che non rilevino l'intrusione.

Successivamente, Alkan e i suoi partner hanno prodotto prove di concetto funzionanti per sconfiggere gli scanner di malware. (Hanno anche offerto di condividere i loro kit di exploit privatamente con ricercatori e fornitori di sicurezza.) Secondo il CEO di Patchstack Oliver Sild, i kit di exploit sono costituiti solo da poche righe di codice.

Alkan ha anche scoperto che il malware "renderizzato", "che si costruisce dinamicamente utilizzando PHP", non è rilevabile dagli scanner di malware locali. Infine, gli scanner locali non sono riusciti a rilevare il malware "in-process". Questo tipo di malware "si esegue una volta e poi si cancella dal sistema, senza lasciare traccia della sua presenza".

Scanner remoti: sconfitti dalla manomissione delle prove e dalla pulizia della scena del crimine

Gli scanner che eseguono la loro analisi su un server remoto includono Malcare, Virusdie, All-In-One Security (AIOS) Pro, Sucuri e JetPack Scan. Questi nuovi metodi di scansione remota presentano numerosi vantaggi, tra cui un footprint ridotto e un impatto sulle prestazioni del server locale. Gli scanner locali utilizzano le risorse del server del tuo sito per svolgere il proprio lavoro, il che ha un costo in termini di prestazioni. Anche l'analisi remota del malware è protetta dalla manipolazione poiché non avviene all'interno dello stesso processo PHP di un'infezione da malware attiva.

Ciò a cui sono vulnerabili gli scanner remoti è il malware che manipola i dati inviati al server remoto per l'analisi. Alkan ha creato un'altra prova di concetto che dimostra che gli scanner remoti possono essere sconfitti in questo modo, nascondendo le "prove" di un'infezione da malware. Oliver Sild ha confermato anche questo risultato:

“La manomissione dei dati può essere ottenuta concettualmente con il plug-in locale come obiettivo dell'inganno. Abbiamo ricevuto un proof of concept che lo dimostra chiaramente”.

Una tattica malware leggermente diversa potrebbe comportare il "pulizia della scena del crimine" e non lasciare alcuna traccia di infezione da scansionare. Alkan ha suggerito che ciò è possibile ma non ha fornito una prova del concetto.

È importante notare che la scansione dell'integrità dei file che cerca modifiche non autorizzate può essere utile quando si tenta di rilevare un'infezione da malware. Questo tipo di scansione confronta i file locali con un repository di codice remoto protetto per rilevare modifiche non ufficiali nel core di WordPress o nei file dei plugin e dei temi. Sfortunatamente, il rilevamento delle modifiche può essere annullato se il processo viene manomesso da malware.

Non solo ipotetico: il malware sta già disabilitando gli scanner di sicurezza di WordPress in circolazione

Dopo gli exploit kit di Alkan, la più grande rivelazione nel rapporto di Snicco arriva da Thomas Raef, CEO di We Watch Your Website, che rileva e ripulisce i siti WordPress compromessi:

“Negli ultimi 60 giorni, 52.848 siti sono stati violati con WordFence installato prima dell'infezione. Il malware installato ha manomesso i file di WordFence nel 14% dei casi (7.399) . Altri servizi popolari avevano percentuali ancora più alte; MalCare arriva al 22% e VirusDie al 24%.

Per un resoconto dettagliato dell'analisi di We Watch Your Website, vedere il rapporto di Thomas Raef, "How We Identified Nearly 150K Hacked WordPress Sites in 60 Days".

Questo è il gioco finito per i plug-in di scansione malware. Ci dice che la scansione del malware di WordPress è puro teatro di sicurezza: "la pratica di adottare misure di sicurezza che si ritiene forniscano la sensazione di una maggiore sicurezza mentre si fa poco o nulla per raggiungerla".

Senza dubbio anche questo va avanti da molto tempo.

Kathy Zant, veterana del settore della sicurezza e direttore marketing di Kadence, ha dichiarato ad Alkan:

“Nel corso di circa 18 mesi, ho pulito i siti WordPress per una nota azienda di WordPress, rimuovendo malware da oltre 2.000 siti durante il mio mandato. Il primo lasso di tempo che ho visto [malware che sconfigge le scansioni malware] è stato tra la metà e la fine del 2017. [….] Sono sicuro che esiste ancora. E potrebbero benissimo esserci varianti aggiuntive che eseguono azioni simili, o anche peggiori".

Questa è la cattiva notizia: non ci si può fidare degli scanner di malware. La buona notizia è che non hanno mai offerto una vera difesa. Se tutto ciò che hai perso è un'illusione di sicurezza, questo è in realtà un passo verso l'ottenimento di una vera sicurezza.

Come proteggere correttamente il tuo sito WordPress

A seguito di un rapporto come quello di Snicco, la grande domanda è: "Come possono i siti WordPress ottenere un'elevata fiducia nella loro sicurezza?"

Alkan ritiene che i metodi di sicurezza debbano essere adattati a ogni stack di server e la scansione del malware sul lato server eseguita dall'host è l'unico tipo di scansione utile per i proprietari del sito.

"I plug-in di sicurezza di WordPress dovrebbero SOLO fare cose che possono essere fatte meglio a livello di applicazione/PHP", sottolinea.

Una forte sicurezza dell'accesso utente come l'autenticazione a due fattori e le passkey insieme alla sicurezza della sessione sono aree che Alkan afferma che i plugin di WordPress possono aiutare, plugin come iThemes Security. Questa è sempre stata la filosofia guida del nostro team di sviluppo: un plug-in di sicurezza è più adatto per rafforzare i siti e ridurre la superficie di attacco.

Altri modi essenziali per rafforzare le difese del tuo sito WordPress includono un'attenta gestione degli utenti seguendo il principio del minimo privilegio: non dare mai più potere a un utente del necessario. E per gli utenti più privilegiati, richiedono uno standard di sicurezza più elevato: 2FA, passkey, dispositivi affidabili e password complesse che non sono mai apparse in una violazione nota.

Le tendenze degli attacchi odierni prendono di mira in modo intelligente le piccole e medie imprese con password stuffing, phishing e spearphishing. Questi vettori di attacco sfruttano l'autenticazione di accesso debole e l'errore umano. Usano la forza bruta e tattiche intelligenti di ingegneria sociale per compromettere i singoli account utente. Armato di un account utente violato, un utente malintenzionato può causare molti danni. Potrebbero fare ancora più danni se vedono anche un plug-in vulnerabile da sfruttare. Una volta all'interno del tuo sistema, un utente malintenzionato può creare backdoor per rientrare in qualsiasi momento.

Un plug-in di sicurezza che enfatizza uno scanner di malware non li fermerà.

Il miglior plugin per la sicurezza di WordPress per mettere in sicurezza e proteggere WordPress

WordPress attualmente alimenta oltre il 40% di tutti i siti Web, rendendolo un obiettivo ampio e familiare per i criminali informatici. Il plug-in iThemes Security Pro elimina le congetture dalla sicurezza di WordPress per semplificare la sicurezza e la protezione del tuo sito Web WordPress. È come avere un esperto di sicurezza a tempo pieno nello staff che monitora e protegge costantemente il tuo sito WordPress per te.

Ottieni iThemes Security Pro

Dan Knauss

Dan Knauss è il Technical Content Generalist di StellarWP. È scrittore, insegnante e libero professionista che lavora nell'open source dalla fine degli anni '90 e con WordPress dal 2004.