Il tuo sito WordPress è lento, le pagine si caricano con fatica o ricevi strane email di alert? Potresti essere vittima di un attacco informatico che sfrutta il tuo sito WordPress e il tuo server per generare a tua insaputa soldi virtuali, che finiscono sui conti di criminali digitali.

Negli ultimi tempi la preoccupante diffusione di attacchi di questo genere sta rapidamente colpendo migliaia di proprietari di siti WordPress: il rischio è quello di compromettere il proprio sito e il proprio server e di dover spendere diverso tempo e denaro per ripristinare la situazione. Non ultimo, regalare parecchi soldi a chi ci ha creato tutti questi fastidi: fino a 100mila dollari al giorno.

Allarme WordPress. Tutta una questione di soldi

Per capire l’origine del problema è necessario comprendere rapidamente il concetto di criptovaluta. Non esistono più solamente i soldi reali, ma è stata sviluppata ormai da anni una valuta completamente virtuale, i Bitcoin. Queste monete digitali devono essere all’inizio acquistate con soldi reali attraverso alcuni istituti appositi, alchè diventano del denaro proprio del web, scambiabile su internet per la compravendita di beni.

Le criptovalute hanno però una caratteristica importante. Mentre i soldi reali possono essere stampati solamente dalla Banca d’Italia, le criptovalute possono essere generate autonomamente da chiunque. È necessario attivare un computer e dargli il comando di eseguire una serie di calcoli al fine di decifrare alcune stringhe di codice.

Nel momento in cui queste stringhe sono state decodificate e i calcoli sono terminati, si ottiene una unità, una moneta, della criptovaluta. Si chiama “Mining“, parola che rappresenta proprio l’atto di scavare in una miniera per farne sbucare dei soldi virtuali. Va da sé che maggiore è la potenza del computer che esegue i calcoli, più velocemente si riesce a convertire le stringhe di codice e ad ottenere “monete” digitali utilizzabili. Una di queste monete è Monero, il cui mining, a differenza di altre, si appoggia alla CPU senza bisogno di schede grafiche.

Per questo motivo, i pirati informatici creano delle reti internazionali di computer e di server compromessi, che mettono a loro disposizione per eseguire quanti più calcoli possibili, guadagnando alle spalle delle vittime. E qui entrano in gioco i siti WordPress. Nell’ultimo periodo si è assistito ad un attacco su vasta scala basato su dei virus che prendono di mira i siti basati sul popolarissimo CMS WordPress.

Questi virus sono particolarmente abili nel nascondersi ai normali software di sicurezza, modificano il loro nome per non farsi identificare e non provocano nessun tipo di cambiamento visibile al sito, in modo che l’amministratore non si accorga di nulla.

Dal sito WordPress allo sfruttamento del server

In realtà, utilizzando il sito in WordPress come ponte, il virus si installa sul server presso cui il sito è registrato, che viene raggirato e messo ad eseguire calcoli di mining per conto del pirata informatico. Normalmente l’amministratore di WordPress nota una sensibile rallentamento nel caricamento delle pagine ma non riesce a capire l’origine del problema. Nel lungo periodo, i server compromessi si dedicano sostanzialmente a due cose: diffondere il virus ad altri WordPress per aggiungere nuovi server alla rete malevola e minare dati per conto del pirata informatico.

L’impatto sul sito e sul business della vittima è evidente: le attività legate al dominio si bloccano in maniera irrimediabile e al danno di veder danneggiato il proprio lavoro e la reputazione del proprio sito nei confronti di clienti, si aggiunge la beffa di aver aiutato Il pirata informatico a guadagnare. Si stima che alcune botnet siano in grado di generare centomila dollari al giorno con questo sistema.

Il team di Alground ha analizzato fin dai primi giorni le dinamiche di questi attacchi e ha sviluppato un servizio gratuito che permette di verificare se è attivo un mining sul proprio server, attraverso il proprio sito WordPress. Utilizzando il modulo in fondo all’articolo è possibile richiedere un’analisi gratuita della propria situazione.

I metodi per risolvere questo tipo di attacco sono sostanzialmente due. Il primo è quello di bonificare lo stato di salute del proprio WordPress: può essere utile un’occhiata ai log con tutte le attività e una verifica dell’integrità dei file sul server. Questa operazione può essere eseguita direttamente dall’amministratore del sito, se ha conoscenze di programmazione WordPress sufficientemente avanzate. Oppure può essere svolto dal nostro team di Alground Security, che si appoggia a sofisticati strumenti in collaborazione con la Sucuri per rimuovere ogni tipo di infezione su WordPress.

La soluzione definitiva è invece quella di appoggiarsi ad un hosting hardenizzato per questo tipo di minacce. Alground Hosting attua un controllo in tempo reale delle richieste e dell’attività del server, accorgendosi immediatamente di ogni tipo di anomalia ed intervenendo proattivamente per impedire il propagarsi di software malevolo e per eliminare alla radice l’attività di mining della criptovaluta. Data la gravità della situazione, Alground Hosting offre, eccezionalmente, la migrazione gratuita del proprio sito WordPress sui nostri server sicuri.