Il malware wp-vcd è una delle minacce più comuni e pericolose per i siti WordPress. In questo articolo spiegheremo come funziona, da dove potrebbe provenire e come è possibile difendersi. Condivideremo un caso reale di un sito WordPress infettato da questo malware e i passi presi per la sua completa rimozione.
La maggior parte delle infezioni da wp-vcd avviene tramite temi o plugin scaricati da fonti non affidabili, spesso chiamati temi o plugin “nulled”. Questi file gratuiti contengono codice malevolo nascosto nei loro file principali
Indice
Cos’è il malware wp-vcd?
Il malware wp-vcd è un codice malevolo progettato per:
- Prendere il controllo di un sito WordPress.
- Iniettare codice malevolo nei file del tema e nei file core di WordPress.
- Creare backdoor per accedere al server da remoto.
- Impostare cron job per mantenere il controllo del sito anche dopo la rimozione.
Come wp-vcd infetta un sito WordPress?
La maggior parte delle infezioni da wp-vcd avviene tramite temi o plugin scaricati da fonti non affidabili, spesso chiamati temi o plugin “nulled”. Questi file gratuiti contengono codice malevolo nascosto nei loro file principali, come il functions.php
.
Caso reale: il tema “History”
In un caso specifico che abbiamo risolto, l’infezione è avvenuta attraverso un tema chiamato History. Quando questo tema è stato installato e attivato:
- Ha iniettato il codice malevolo nel file
functions.php
del tema attivo. - Ha creato file sospetti nella directory
wp-includes
, comewp-vcd.php
. - Ha impostato cron job nel database per reinfettare il sito se il codice malevolo veniva rimosso.
Analisi del codice malevolo
Il codice wp-vcd ha diverse funzioni per garantire il controllo del sito:
Esecuzione di comandi remoti
if (isset($_REQUEST['action']) && isset($_REQUEST['password']) && ($_REQUEST['password'] == 'd5ccefa887ea50dea0e75dc25b520a0a')) {
switch ($_REQUEST['action']) {
case 'change_domain':
case 'change_code':
}
}
Questo permette agli attaccanti di inviare comandi al sito infetto.
Persistenza tramite cron job
Il malware crea cron job nel database WordPress (tabella wp_options
) per eseguire il codice malevolo periodicamente, rendendo difficile la rimozione definitiva.
Creazione di file backdoor
Il malware scarica ulteriori script malevoli da domini remoti, come http://www.macocs.com/code.php
, e crea file come:
wp-vcd.php
wp-tmp.php
wp-feed.php
Obiettivi del malware
- Prendere il controllo del sito:
L’attaccante può utilizzare il sito per inviare spam, ospitare phishing o lanciare attacchi contro altri siti. - Creare una botnet:
Una rete di siti infetti può essere utilizzata per attacchi su larga scala. - Inserire link o annunci pubblicitari:
Alcuni attacchi mirano a monetizzare il sito infetto inserendo link di affiliazione o annunci non autorizzati.
Come rimuovere wp-vcd
La rimozione del malware richiede una serie di passi:
Per eliminare completamente wp-vcd esegui questi passaggi:
Identifica il malware
Controlla i file che usano termini come: wp_vcd
base64_decode
eval
Controlla i file contenuti nelle cartelle:wp-includes/
wp-content/themes/
wp-content/plugins/
Rimuovi i file infetti
Elimina file come wp-vcd.php
, wp-tmp.php
, e altri file sospetti.
Rimuovi il codice malevolo dai file functions.php
di tutti i temi installati.
Pulisci il database
Controlla la tabella wp_options
e wp_users
per cron job sospetti o utenti sconosciuti. Elimina le voci legate a wp-vcd.
Aggiorna le credenziali
Cambia tutte le password: Hosting, FTP, database e amministratore di WordPress.
Installa un plugin per la sicurezza
Usa plugin come Wordfence o Sucuri (oppure leggi la lista di tutti i plugin selezionati da Seo Wp per la sicurezza) per monitorare modifiche future ai file.
Prevenzione: come evitare il malware wp-vcd
- Scarica temi e plugin solo da fonti affidabili Non utilizzare temi o plugin “nulled”. Acquista solo da fonti ufficiali.
- Aggiorna WordPress, temi e plugin Assicurati che tutto sia aggiornato per ridurre vulnerabilità.
- Imposta un firewall Plugin come Wordfence o Sucuri offrono protezione contro gli attacchi.
- Controlla regolarmente il tuo sito Scansiona regolarmente i file e il database per rilevare anomalie.
Il malware wp-vcd è un esempio lampante di come l’uso di temi o plugin non ufficiali possa compromettere un sito WordPress. Seguendo le buone pratiche di sicurezza e mantenendo il tuo sito aggiornato, puoi ridurre significativamente il rischio di infezioni.
Se hai avuto un’esperienza simile o hai bisogno di aiuto per rimuovere il malware dal tuo sito clicca qui!