WordPress 6.6.1 segnalato per presenza di malware Trojan
Why WordPress 6.6.1 è stato segnalato per malware Trojan Sono emersi diversi segnalazioni da parte degli utenti che avvertono che l’ultima versione di WordPress sta creando allarmi per trojan e almeno una persona ha segnalato che un provider di hosting ha bloccato un sito web a causa del file incriminato. Ciò che è realmente accaduto […]
Why WordPress 6.6.1 è stato segnalato per malware Trojan
Sono emersi diversi segnalazioni da parte degli utenti che avvertono che l’ultima versione di WordPress sta creando allarmi per trojan e almeno una persona ha segnalato che un provider di hosting ha bloccato un sito web a causa del file incriminato. Ciò che è realmente accaduto si è trasformato in un’esperienza di apprendimento.
Antivirus segnala un trojan nel download ufficiale di WordPress 6.6.1
La prima segnalazione è stata fatta nei forum di supporto ufficiali di WordPress.org, dove un utente ha riferito che l’antivirus nativo di Windows 11 (Windows Defender) ha individuato un trojan nel file zip di WordPress che aveva scaricato dal sito ufficiale.
Ecco il testo del post originale:
“Windows Defender mostra che l’ultimo wordpress-6.6.1.zip contiene il virus Trojan:Win32/Phish!MSR quando provo a scaricarlo dal sito ufficiale di WordPress. Mostra la stessa notifica virus quando aggiorno dal pannello di controllo WordPress del mio sito. Si tratta di un falso positivo?”
Hanno anche pubblicato degli screenshot del messaggio di avviso del trojan che elencava lo stato come “Quarantena fallita” e che il file zip di WordPress della versione 6.6.1 “è pericoloso ed esegue comandi da un attaccante”.
Altri utenti hanno confermato di avere avuto lo stesso problema, notando che una stringa di codice all’interno di uno dei file CSS (che controlla l’aspetto di un sito web, tra cui colori) era la causa che scatenava l’avviso.
Soluzione inaspettata
Un falso positivo è generalmente un risultato positivo in un test quando in realtà non è positivo per ciò che viene testato. Gli utenti di WordPress hanno iniziato a sospettare che l’allarme virus trojan di Windows Defender fosse un falso positivo.
È stato aperto un ticket ufficiale su WordPress GitHub dove la causa è stata identificata come un URL non sicuro (http invece di https) che è referenziato all’interno del foglio di stile CSS. Un URL non è comunemente considerato parte di un file CSS, quindi potrebbe essere stata la ragione per cui Windows Defender ha segnalato questo specifico file CSS come contenente un trojan.
La soluzione al problema è arrivata con la correzione dell’URL non sicuro, che avrebbe dovuto essere la fine della storia. Tuttavia, è emerso un dettaglio che è stato trascurato.
L’URL (non sicuro) non è un collegamento a una fonte di file (e quindi non è insicuro), ma piuttosto un identificatore che definisce lo scope del linguaggio Scalable Vector Graphics (SVG) all’interno di XML.
Quindi il problema alla fine non è stato causato da un errore nel codice di WordPress 6.6.1, ma piuttosto da un problema con Windows Defender che non è riuscito a identificare correttamente uno “spazio dei nomi XML” anziché erroneamente segnalarlo come un URL che collega a file scaricabili.
Riflessione
Il falso positivo allarmante del trojan da parte di Windows Defender e la successiva discussione sono stati un momento di apprendimento per molte persone (me compreso!) su una conoscenza relativamente oscura del namespace XML per i file SVG.
Leggi la segnalazione originale:
Virus Issue: wordpress-6.6.1.zip mostra un virus da parte di Windows Defender