Attenzione: email truffa in cui tentano di impersonare il WordPress Security Team


Traduzione dell’articolo wordpress.org/news/2023/12/alert-wordpress-security-team-impersonation-scams di Peter Wilson

Il team di sicurezza di WordPress è a conoscenza di numerose truffe di phishing in corso che tentano di identificarsi come il “WordPress team” o il “WordPress Security Team“ al fine di convincere chi amministra il sito  a installare un plugin che in realtà contiene un malware.

Il team di sicurezza di WordPress non vi invierà mai un’email con la richiesta di installare un plugin o un tema sul vostro sito e non vi chiederà mai il nome utente e la password di amministrazione.

Se ricevete un’email non richiesta che dichiara di provenire da WordPress, contenente istruzioni simili a quelle descritte sopra, ignoratela e segnatela come truffa/phishing al vostro provider di posta.

Queste email contengono link a siti di phishing che sembrano i repository di WordPress, ma che NON sono su domini di proprietà di WordPress e nemmeno di entità associate a WordPress. Patchstack e Wordfence hanno scritto approfonditi articoli al riguardo.

Le email ufficiali del progetto WordPress saranno sempre:

  • provenienti da un dominio wordpress.org o wordpress.net
  • dovrebbero riportare la dicitura “Signed by: wordpress.org” nella sezione dei dettagli del messaggio

Il team di sicurezza di WordPress comunicherà con gli utenti solo con le seguenti modalità:

Il team dei plugin di WordPress non comunicherà mai direttamente con gli utenti di un plugin, ma potrebbe inviare email a chi si occupa del plugin (supporto, sviluppo e a chi collabora). Queste email saranno inviate da plugins@wordpress.org e saranno firmate (signed) come indicato sopra.

La directory ufficiale dei plugin di WordPress si trova all’indirizzo wordpress.org/plugins con versioni localizzate su sottodomini, come it.wordpress.org/plugins, fr.wordpress.org/plugins, en-au.wordpress.org/plugins, ecc. Un sottodominio può contenere un trattino, ma un punto apparirà sempre prima di wordpress.org.

Chi amministra un sito WordPress può accedere al repository dei plugin anche attraverso il menu Plugin della bacheca di WordPress.

Poiché WordPress è il CMS più utilizzato, questo tipo di truffe di phishing si verifica di tanto in tanto. Fate attenzione alle email inaspettate che vi chiedono di installare un tema, un plugin o che vi collegano a un modulo di accesso.

Il sito Scamwatch dà qualche suggerimento su come identificare email e messaggi che molto probabilmente sono truffe (in inglese).

Come sempre, se pensi di aver individuato un problema di vulnerabilità in/per WordPress, segui le linee guida di sicurezza del progetto (qui la pagina ufficiale in inglese) per segnalare in modo privato e responsabile il problema direttamente al team di sicurezza di WordPress, attraverso il sito ufficiale del progetto HackerOne.

Nell’articolo originale si ringraziano: Aaron Jorbin, Otto, Dion Hulse, Josepha Haden Chomphosy e Jonathan Desrosiers per la collaborazione nella stesura dell’articolo.

Lascia un commento