Lo confesso. Ogni volta che vedo qualche thriller americano dove si vede l’assassino che entra dalla porta sul retro con una facilità estrema non posso fare a meno di chiedermelo: ma perchè le fanno così fragili? Eppure ormai i film americani dovrebbero vederli anche loro. O no?

Ecco, nel mondo WordPress siamo messi pressappoco così. Creare una backdoor e nasconderla dentro un tema o un plugin crackato, vi assicuro, è una operazione alla portata di moltissimi. Basta anche fare qualche ricerca su google e si trovano script piuttosto facili da implementare.

Oggi quindi voglio presentarvi un plugin da me realizzato che pone un argine almeno al tipo più comune e banale di backdoor, quella che crea un amministratore con credenziali a scelta all’interno del vostro sito. Ora, non sarò certo io a linkarvi il codice, ma vi lascio immaginare cosa potrebbe combinare un hacker con credenziali da amministratore sul vostro sito web.

Non so, se avete magari un piccolo e-commerce con Woocommerce, che ne direste se vi cambio le credenziali API di Paypal per dirottare i pagamenti sul MIO conto ?

Il plugin da me realizzato si chiama Block New Admin, è ancora in beta, per ora si limita a bloccare la creazione di nuovi utenti con il ruolo di Amministratore sia che questo avvenga tramite codice, sia che avvenga tramite il menù utenti. Ovviamente il plugin agisce solo sui nuovi amministratori, non su quelli che possano essere stati creati in precedenza! Ricordiamo che con uno script (che non linko) è anche possibile offuscare la presenza di un utente hacker all’interno della lista degli utenti.

Occhio quindi! Se l’amministratore hacker è stato creato dal tema o dal plugin attivato prima dell’utilizzo di Block New Admin state chiudendo la stalla dopo che i buoi sono scappati! E considerate in ogni caso che una backdoor non è l’unica schifezza che potete beccarvi in un tema o plugin crackato.

Un pregio di Block New Admin consiste nel fatto che il plugin, una volta azionato, rimane attivo anche se disinstallato e anche se rimuovete la cartella del plugin!

Come funziona

Una volta attivato, il plugin genera una voce nel menù Impostazioni, Blocco nuovi admin. Si va quindi su questa voce e, nella tab Generale, si inserisce una password e quindi si clicca su Attiva Blocco. Fatto! IMPORTANTE! In questa versione non ho creato un meccanismo di recupero password, per cui è consigliabile conservare la password con cura!

Tale password infatti serve nel caso in cui sia necessario procedere alla creazione di un nuovo amministratore: mediante la password è possibile disattivare il blocco. Attenzione! Una volta disattivato, il sito è scoperto, una eventuale backdoor presente potrebbe attivarsi in questa fase e creare l’utente hacker che potrebbe ovviamente essere nascosto.

Fatta eccezione per i casi di utente nascosto, i tentativi di hackeraggio vengono mostrati nella tabella degli utenti con il ruolo HACKER ATTEMPT.

DISCLAIMER:Il plugin indicato è fornito AS IS. Il suo uso è sotto la piena e completa responsabilitò di chi lo installa ed implica l’accettazione di tutte le clausole indicate nelle avvertenze legali.