Come il Malware Wp-Vcd infetta i Siti WordPress e come difendersi

Il malware wp-vcd è una delle minacce più comuni e pericolose per i siti WordPress. In questo articolo spiegheremo come funziona, da dove potrebbe provenire e come è possibile difendersi. Condivideremo un caso reale di un sito WordPress infettato da questo malware e i passi presi per la sua completa rimozione.

La maggior parte delle infezioni da wp-vcd avviene tramite temi o plugin scaricati da fonti non affidabili, spesso chiamati temi o plugin “nulled”. Questi file gratuiti contengono codice malevolo nascosto nei loro file principali


Cos’è il malware wp-vcd?

Il malware wp-vcd è un codice malevolo progettato per:

  • Prendere il controllo di un sito WordPress.
  • Iniettare codice malevolo nei file del tema e nei file core di WordPress.
  • Creare backdoor per accedere al server da remoto.
  • Impostare cron job per mantenere il controllo del sito anche dopo la rimozione.

Come wp-vcd infetta un sito WordPress?

La maggior parte delle infezioni da wp-vcd avviene tramite temi o plugin scaricati da fonti non affidabili, spesso chiamati temi o plugin “nulled”. Questi file gratuiti contengono codice malevolo nascosto nei loro file principali, come il functions.php.

Caso reale: il tema “History”

In un caso specifico che abbiamo risolto, l’infezione è avvenuta attraverso un tema chiamato History. Quando questo tema è stato installato e attivato:

  1. Ha iniettato il codice malevolo nel file functions.php del tema attivo.
  2. Ha creato file sospetti nella directory wp-includes, come wp-vcd.php.
  3. Ha impostato cron job nel database per reinfettare il sito se il codice malevolo veniva rimosso.

Analisi del codice malevolo

Il codice wp-vcd ha diverse funzioni per garantire il controllo del sito:

Esecuzione di comandi remoti

if (isset($_REQUEST['action']) && isset($_REQUEST['password']) && ($_REQUEST['password'] == 'd5ccefa887ea50dea0e75dc25b520a0a')) {
    switch ($_REQUEST['action']) {
        case 'change_domain':
        case 'change_code':
    }
}

Questo permette agli attaccanti di inviare comandi al sito infetto.

Persistenza tramite cron job

Il malware crea cron job nel database WordPress (tabella wp_options) per eseguire il codice malevolo periodicamente, rendendo difficile la rimozione definitiva.

Creazione di file backdoor

Il malware scarica ulteriori script malevoli da domini remoti, come http://www.macocs.com/code.php, e crea file come:

  • wp-vcd.php
  • wp-tmp.php
  • wp-feed.php

Obiettivi del malware

  1. Prendere il controllo del sito:
    L’attaccante può utilizzare il sito per inviare spam, ospitare phishing o lanciare attacchi contro altri siti.
  2. Creare una botnet:
    Una rete di siti infetti può essere utilizzata per attacchi su larga scala.
  3. Inserire link o annunci pubblicitari:
    Alcuni attacchi mirano a monetizzare il sito infetto inserendo link di affiliazione o annunci non autorizzati.

Come rimuovere wp-vcd

La rimozione del malware richiede una serie di passi:

Per eliminare completamente wp-vcd esegui questi passaggi:

Identifica il malware

Controlla i file che usano termini come:
wp_vcd
base64_decode
eval

Controlla i file contenuti nelle cartelle:
wp-includes/
wp-content/themes/
wp-content/plugins/

Rimuovi i file infetti

Elimina file come wp-vcd.php, wp-tmp.php, e altri file sospetti.
Rimuovi il codice malevolo dai file functions.php di tutti i temi installati.

Pulisci il database

Controlla la tabella wp_options e wp_users per cron job sospetti o utenti sconosciuti. Elimina le voci legate a wp-vcd.

Aggiorna le credenziali

Cambia tutte le password: Hosting, FTP, database e amministratore di WordPress.

Installa un plugin per la sicurezza

Usa plugin come Wordfence o Sucuri (oppure leggi la lista di tutti i plugin selezionati da Seo Wp per la sicurezza) per monitorare modifiche future ai file.


Prevenzione: come evitare il malware wp-vcd

  1. Scarica temi e plugin solo da fonti affidabili Non utilizzare temi o plugin “nulled”. Acquista solo da fonti ufficiali.
  2. Aggiorna WordPress, temi e plugin Assicurati che tutto sia aggiornato per ridurre vulnerabilità.
  3. Imposta un firewall Plugin come Wordfence o Sucuri offrono protezione contro gli attacchi.
  4. Controlla regolarmente il tuo sito Scansiona regolarmente i file e il database per rilevare anomalie.

Il malware wp-vcd è un esempio lampante di come l’uso di temi o plugin non ufficiali possa compromettere un sito WordPress. Seguendo le buone pratiche di sicurezza e mantenendo il tuo sito aggiornato, puoi ridurre significativamente il rischio di infezioni.

Se hai avuto un’esperienza simile o hai bisogno di aiuto per rimuovere il malware dal tuo sito clicca qui!

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *