Autore: La Redazione

Due vulnerabilità che colpiscono il plug-in POST SMTP Mailer WordPress, uno strumento di consegna della posta elettronica utilizzato da 300.000 siti Web, potrebbero aiutare gli aggressori ad assumere il controllo completo dell'autenticazione di un sito.

Lo scorso mese, Wordfence i ricercatori di sicurezza Ulysses Saicha e Sean Murphy hanno scoperto due vulnerabilità nel plugin e le hanno segnalate al fornitore.

Il primo, tracciato come CVE-2023-6875è un difetto critico di bypass dell'autorizzazione derivante da un problema di “giocolazione dei tipi” sull'endpoint REST dell'app Connect. Il problema riguarda tutte le versioni del plugin fino alla 2.8.7

Un utente malintenzionato non autenticato potrebbe sfruttarlo per reimpostare la chiave API e visualizzare informazioni di registro sensibili, comprese le e-mail di reimpostazione della password.

Nello specifico, l'aggressore può sfruttare una funzione relativa all'app mobile per impostare tramite una richiesta un token valido con valore zero per la chiave di autenticazione.

Successivamente, l'aggressore attiva una reimpostazione della password per l'amministratore del sito e quindi accede alla chiave dall'interno dell'applicazione, modificandola e bloccando l'accesso dell'utente legittimo all'account.

Con i privilegi di amministratore, l'aggressore ha pieno accesso e può installare backdoor, modificare plugin e temi, modificare e pubblicare contenuti o reindirizzare gli utenti verso destinazioni dannose.

La seconda vulnerabilità è un problema di cross-site scripting (XSS) identificato come CVE-2023-7027 che deriva da un'insufficiente sanificazione dell'input e dall'escape dell'output.

La falla colpisce POST SMPT fino alla versione 2.8.7 e potrebbe consentire agli aggressori di inserire script arbitrari nelle pagine web del sito interessato.

Wordfence ha contattato per la prima volta il fornitore in merito al difetto critico l'8 dicembre 2023 e, dopo aver inviato il rapporto, ha fatto seguito a un exploit proof-of-concept (PoC) il 15 dicembre.

Il problema XSS è stato segnalato il 19 dicembre 2023 e il giorno successivo è stato condiviso un PoC.

Il fornitore del plugin ha pubblicato il 1° gennaio 2024 la versione 2.8.8 di POST SMPT che include correzioni di sicurezza per entrambi i problemi.

Basato su statistiche da wordpress.orgci sono circa 150.000 siti che eseguono una versione vulnerabile del plugin inferiore alla 2.8. Della restante metà che ha installato la versione 2.8 e successive, migliaia sono probabilmente anch'esse vulnerabili se si considera che la piattaforma riporta circa 100.000 download dal rilascio della patch.

Sapevi che oltre il 70% dei visitatori che abbandonano il tuo sito web non torneranno mai più? E la maggior parte dei siti Web cattura meno di 1 email ogni 200 visitatori. È molto tempo, denaro e fatica andrà sprecato.

Come te, stavamo cercando un modo migliore per acquisire indirizzi email e aumentare le conversioni del sito web, ma abbiamo faticato perché gli strumenti non erano facili da usare ed erano decisamente troppo costoso.

Quindi abbiamo iniziato con un obiettivo semplice: costruire un potente tecnologia per acquisire lead e massimizzare le conversioni sul nostro sito web.

Dopo molte richieste da parte di utenti e altri esperti del settore, abbiamo deciso di confezionare il prodotto come OptinMonster, una potente soluzione di lead generation senza costi elevati.

Dal nostro lancio nel 2013, abbiamo incrementato le conversioni di migliaia di siti web, dalle piccole imprese indipendenti alle aziende Fortune 500. Oltre un miliardo di persone vedono ogni mese un sito Web con OptinMonster. I nostri clienti stanno vedendo enormi aumenti nella crescita degli abbonati e nelle vendite complessive.

Siamo così sicuri del nostro prodotto che offriamo anche un Garanzia di rimborso entro 14 giorni al 100% senza rischi. Se non vedi risultati nei prossimi 14 giorni, saremo lieti di rimborsarti il ​​100% del tuo denaro.

Le migliaia di esperti di marketing e aziende che hanno scelto OptinMonster non possono sbagliarsi. Che cosa stai aspettando?

Smettila di sprecare il tuo tempo, denaro e fatica e inizia a trasformare il traffico esistente del tuo sito web in più abbonati, lead e vendite oggi stesso!

È stata identificata una vulnerabilità critica nel plugin AI Engine per WordPress, che colpisce in particolare la sua versione gratuita con oltre 50.000 installazioni attive.

Il plugin è ampiamente riconosciuto per le sue diverse funzionalità legate all'intelligenza artificiale, che consentono agli utenti di creare chatbot, gestire contenuti e utilizzare vari strumenti di intelligenza artificiale come traduzione, SEO e altro ancora.

Secondo un avviso pubblicato oggi da Patchstack, la falla di sicurezza in questione è una vulnerabilità di caricamento di file arbitrari non autenticati nella funzione rest_upload del plugin all'interno del modulo files.php.

La vulnerabilità consente a qualsiasi utente non autenticato di caricare file arbitrari, inclusi file PHP potenzialmente dannosi, che potrebbero portare all'esecuzione di codice remoto sul sistema interessato.

In particolare, il parametro permesso_callback dell'endpoint API REST pertinente è impostato su __return_true, consentendo a qualsiasi utente non autenticato di attivare la funzione vulnerabile. La mancanza di una corretta convalida del tipo di file e dell'estensione nel codice consente il caricamento di file arbitrari, ponendo un rischio significativo per la sicurezza.

Maggiori informazioni sulla sicurezza di WordPress: Migrazione del backup Il difetto del plug-in WordPress ha un impatto su 90.000 siti

Per mitigare questa vulnerabilità, il team di sviluppo del plugin ha introdotto una patch nella versione 1.9.99. La patch implementa un controllo delle autorizzazioni sull'endpoint API REST personalizzato e incorpora controlli del tipo di file e dell'estensione utilizzando la funzione wp_check_filetype_and_ext.

Alla luce di questi risultati, si consiglia vivamente agli utenti di aggiornare il plug-in AI Engine almeno alla versione 1.9.99 per garantire che i propri sistemi siano protetti da potenziali sfruttamenti. L'identificatore CVE-2023-51409 è stato assegnato per tenere traccia del problema.

“Controlla sempre ogni processo dei parametri $_FILES nel plugin o nel codice del tema”, si legge nel Avviso patchstack. “Assicurati di applicare un controllo sul nome del file e sull'estensione prima di caricare il file. Inoltre, presta particolare attenzione ai controlli delle autorizzazioni sugli endpoint API REST personalizzati.

Proprietario

Café des Artistes

“Facciamo pubblicità su Vallarta Lifestyles sin dall'apertura del nostro ristorante e da allora abbiamo mantenuto un rapporto forte. Grazie alla sua portata e distribuzione, le campagne che abbiamo pubblicizzato riguardo ai nostri diversi progetti culinari sono sempre state un successo. Questa rivista si è consolidata come un punto di riferimento che promuove la bellezza della nostra destinazione in modo creativo ed efficace”.

Siti basati su WordPress rappresentano circa il 30% dei siti web online e per una buona ragione: sono semplici da configurare, ragionevolmente sicuri e anche altamente flessibili. Un sistema di gestione dei contenuti costantemente popolare, ci sono molti modi diversi per configurare il tuo sito WordPress, al punto che può sembrare difficile sapere da dove cominciare. Fortunatamente, siamo a disposizione per aiutarti a capire di cosa hai più bisogno (e anche per decifrare le differenze tra WordPress.org, con nomi simili e confusi, e WordPress.com, che offrono esperienze molto diverse).

Inizialmente concepito come piattaforma di blogging, WordPress è diventato molto di più nel corso degli anni, grazie a un numero considerevole di plugin. Ora puoi utilizzare il sistema come portfolio per il tuo lavoro creativo o persino creare il tuo sito web di e-commerce. Esistono moltissimi provider di hosting WordPress diversi pronti a semplificare ulteriormente il processo grazie alle installazioni con un clic e ad altre funzionalità che semplificano l'avvio del tuo sito.

Quando cerchi un posto dove ospitare il tuo sito basato su WordPress, è intelligente sapere di che tipo di funzionalità potresti aver bisogno. I provider di hosting gestiti tendono a offrire e-mail e un certificato SSL sicuro oltre alle funzionalità di base di WordPress, con un nome di dominio gratuito spesso incluso. Tuttavia, è anche una mossa saggia considerare il tuo budget. Diversi provider di hosting offrono varie fasce di prezzo, con gli sconti migliori se sei disposto (e puoi) impegnarti per più anni di hosting consecutivi. Prima di premere il pulsante Acquista, devi anche sapere che otterrai un tempo di attività il più vicino possibile al 100% e che otterrai un servizio eccellente. Economico non è sempre meglio. Dopotutto, che tu stia semplicemente gestendo un blog personale o fornendo alla tua attività una presenza online, le prime impressioni contano.

Il nostro provider di hosting WordPress preferito è DreamHostma ci sono molte ottime alternative che forniscono altre funzionalità chiave. Abbiamo esaminato molti dei provider di hosting più popolari, restringendoli a ciò che funziona meglio per situazioni diverse come esigenze aziendali, un piccolo progetto di vanità o una via di mezzo. Abbiamo anche risposto ad alcune delle domande più frequenti su cosa cercare.

WordPress.org o WordPress.com?

Avere due servizi diversi chiamati WordPress crea sicuramente confusione. In poche parole, WordPress.org è il luogo in cui ospiti il ​​tuo sito (o, nel caso di questo articolo, assumi un'azienda come host WordPress) mentre WordPress.com ti consente di avviare un blog in pochi secondi senza dover trovarne uno tuo. servizio di hosting. Quest'ultimo può sembrare immediatamente più attraente, ma è molto meno potente dell'equivalente .org e spesso è il migliore solo per i blog. Se stai cercando di avviare un'attività e quindi hai bisogno di un host di e-commerce o desideri semplicemente più funzionalità, allora avrai bisogno di ciò che WordPress.org fornisce. Fortunatamente, praticamente tutti i provider di hosting ora offrono un'installazione con un clic per WordPress.org, il che significa che non devi essere troppo coinvolto nei dettagli più fini. Ai fini di questo articolo, ci concentreremo su WordPress.org.

Qual è la differenza tra hosting condiviso e hosting dedicato?

Hosting web condiviso significa che il tuo sito WordPress è ospitato con i siti di altre persone su un server. Sei ancora indipendente da loro, quindi nessuno può vedere o modificare i tuoi file (e viceversa), ma utilizzi tutti la stessa memoria e larghezza di banda, il che può significare un servizio leggermente più lento. Significa anche che il tuo sito costerà meno da ospitare, risparmiando denaro sulle tariffe di abbonamento.

L'hosting dedicato ti fornisce un server tutto per te, così non dovrai preoccuparti che le esigenze di larghezza di banda di un sito adiacente influenzino la velocità del tuo sito. Com'era prevedibile, quindi, costa di più dell'hosting condiviso. Se hai una grande azienda o un sito web che verrà visualizzato da molti visitatori, può valere il costo aggiuntivo.

Un’opzione di medio livello è quella di avere il tuo sito WordPress ospitato su un server privato virtuale (VPS) che è ancora un hosting condiviso ma coinvolge molti meno siti, il che significa un minor rischio di problemi di prestazioni. Può essere un'alternativa utile per un'azienda di medie dimensioni o un blog popolare se non puoi estenderti all'hosting dedicato.

Quali funzionalità dovrei cercare quando acquisto un piano di provider di hosting WordPress?

Un pacchetto di provider di hosting WordPress non è per tutti. Considera perché ne hai bisogno. In alcuni casi, a piano di web hosting economico potrebbe essere un'opzione migliore. Tali opzioni potrebbero richiedere l'installazione manuale di WordPress, ma non sempre. Alcune società di hosting offrono ancora un processo di installazione che richiede solo pochi clic. Dato che WordPress è così ben consolidato, spesso basta solo una ricerca su Google per risolvere eventuali problemi che potresti incontrare.

Se stai cercando qualcosa di ancora meno tecnico, come un costruttore di siti web Wix o Squarespace potrebbe essere un'opzione migliore per te.

Se hai impostato un pacchetto di hosting WordPress, verifica che offra alcune funzionalità che i normali pacchetti di hosting non forniscono, come velocità migliorate per le installazioni di WordPress o assistenza avanzata per WordPress. Considera in anticipo cosa vuoi farne, ad esempio se hai bisogno delle funzionalità di e-commerce di WordPress o semplicemente stai pianificando di creare un blog personale.

Se mantieni le cose piccole, non devi preoccuparti di requisiti di larghezza di banda elevati. Tuttavia, se gestisci un'impresa, hai bisogno di un piano che cresca con te. Ecco i nostri provider di hosting preferiti per WordPress nel 2021.

UN WordPress plugin con oltre 2 milioni di installazioni attive ha lasciato i suoi utenti esposti a un'allarmante falla di sicurezza. Il popolare plug-in Advanced Custom Fields (ACF) di WP Engine consente agli amministratori di WordPress di aggiungere campi personalizzati nei loro siti per un'esperienza migliorata del sistema di gestione dei contenuti. Tuttavia, se lasciato senza patch, questo plugin presenta una vulnerabilità XSS (Cross Site Scripting) di “gravità elevata”.

Prima di proseguire, è importante notare che il plug-in Advanced Custom Fields è stato aggiornato con il rilascio di versione 6.1.6ed è per questo che i ricercatori sulla sicurezza possono ora parlare apertamente del difetto principale.

La vulnerabilità XSS riflessa del plug-in ACF consentirebbe agli utenti non autorizzati del sito di rubare potenzialmente informazioni sensibili. Era possibile che un utente malintenzionato potesse sfruttare la vulnerabilità del plug-in per iniettare script dannosi, come reindirizzamenti, pubblicità e altri payload HTML. Successivamente, quando gli ospiti visitavano il sito che era stato manomesso, gli script dannosi potevano essere eseguiti.

Tuttavia, sfruttare il difetto del plugin non è un compito banale. Per compiere le proprie azioni sporche, un attore malintenzionato deve prepararsi e indulgere in qualche sotterfugio. La vulnerabilità XSS riflessa richiede che un potenziale utente malintenzionato lo faccia ingannare un utente privilegiato a visitare un percorso URL predisposto sul sito. Solo successivamente, dopo aver ottenuto privilegi escalation, sono in grado di iniziare a iniettare codice a causa della vulnerabilità nelle versioni ACF precedenti alla 6.1.6.

WordPress è uno dei sistemi di gestione dei contenuti (CMS) più popolari disponibili, rappresenta oltre il 40% dei contenuti sul web ed è quindi un grosso bersaglio per gli hacker. Oltre al codice CMS principale, le installazioni di WordPress sono solitamente piene di codice personalizzato sotto forma di temi, estensioni e plugin. Tutti questi componenti, compreso il server di hosting, espongono una superficie di attacco molto ampia per hacker e malintenzionati.

Negli ultimi anni gli sviluppatori di WordPress e dei plugin di sicurezza hanno fatto molto per chiudere le vulnerabilità con aggiornamenti automatici e altro ancora, ma l’apertura del sistema, il numero di plugin, le persone che trascurano le loro proprietà online e altro ancora possono significare possedere un sito WordPress è come far funzionare una macchina digitale “colpisci la talpa”.

Un popolare plugin WordPress per la conformità alla privacy con oltre 800.000 installazioni ha recentemente corretto una vulnerabilità XSS archiviata che potrebbe consentire a un utente malintenzionato di caricare script dannosi per lanciare attacchi contro i visitatori del sito.

Conformità | Plug-in WordPress per il consenso ai cookie GDPR/CCPA

Il plugin Complianz per WordPress è un potente strumento che aiuta i proprietari di siti web a rispettare le normative sulla privacy come il Regolamento generale sulla protezione dei dati (GDPR) e il California Consumer Privacy Act (CCPA).

Il plug-in gestisce molteplici aspetti della privacy dell'utente, tra cui il blocco dei cookie di terze parti, la gestione del consenso ai cookie (incluso per sottoregione) e la gestione di molteplici aspetti relativi ai banner dei cookie.

La sua versatilità e utilità possono spiegare la popolarità dello strumento che attualmente conta oltre 800.000 installazioni.

Vulnerabilità XSS memorizzata nel plug-in Complianz

È stato scoperto che il plugin Complianz WordPress presenta una vulnerabilità XSS memorizzata, un tipo di vulnerabilità che consente a un utente di caricare uno script dannoso direttamente sul server del sito web. A differenza di un XSS riflesso che richiede all'utente di un sito Web di fare clic su un collegamento, un XSS archiviato implica uno script dannoso archiviato e servito dal server del sito Web di destinazione.

La vulnerabilità risiede nelle impostazioni di amministrazione di Complianz e si presenta sotto forma di una mancanza di due funzioni di sicurezza.

1. Sanificazione ingresso
Il plugin non disponeva di una sufficiente pulizia degli input e di escape dell'output. La sanificazione dell'input è un processo standard per controllare l'input in un sito Web, ad esempio in un campo del modulo, per assicurarsi che l'input sia quello previsto, come un input di testo anziché il caricamento di uno script.

L'ufficiale La guida per sviluppatori di WordPress descrive la sanificazione dei dati COME:

“La sanificazione dell'input è il processo di protezione/pulizia/filtraggio dei dati di input. La convalida è preferibile alla sanificazione perché la convalida è più specifica. Ma quando “più specifico” non è possibile, la sanificazione è la soluzione migliore.”

2. Uscita in uscita
Il plugin non disponeva dell'Output Escaping, un processo di sicurezza che rimuove i dati indesiderati prima che vengano renderizzati per un utente.

Quanto è grave la vulnerabilità?

La vulnerabilità richiede che l'aggressore ottenga livelli di autorizzazione di amministratore o superiori per eseguire l'attacco. Questo potrebbe essere il motivo per cui a questa vulnerabilità viene assegnato un punteggio di 4,4 su 10, dove dieci rappresentano il livello di vulnerabilità più elevato.

La vulnerabilità colpisce solo tipi specifici di installazioni.

Secondo Wordfence:

“Ciò consente agli aggressori autenticati, con autorizzazioni a livello di amministratore e superiori, di iniettare script web arbitrari in pagine che verranno eseguiti ogni volta che un utente accede a una pagina iniettata.

Ciò riguarda solo le installazioni multisito e le installazioni in cui unfiltered_html è stato disabilitato.”

Aggiorna all'ultima versione

La vulnerabilità colpisce le versioni Complianz uguali o inferiori alla versione 6.5.5. Gli utenti sono incoraggiati ad aggiornare alla versione 6.5.6 o successiva.

Leggi l'avviso di Wordfence sulla vulnerabilità:

Conformità | Consenso cookie GDPR/CCPA <= 6.5.5 – Scripting cross-site archiviato (amministratore+) tramite impostazioni

Una vulnerabilità classificata come Alta è stata recentemente corretta in un plug-in di ottimizzazione di Google Fonts per WordPress, consentendo agli aggressori di eliminare intere directory e caricare script dannosi.

Oh mio Dio | Plug-in WordPress conforme a GDPR/DSGVO

Il plugin, OMGF | Conforme GDPR/DSGVO, Google Fonts più veloci. Easy., ottimizza l'uso di Google Fonts per ridurre l'impatto sulla velocità della pagina ed è anche conforme al GDPR, rendendolo utile per gli utenti dell'Unione Europea che desiderano implementare Google Fonts.

Screenshot della valutazione della vulnerabilità di Wordfence

Vulnerabilità

La vulnerabilità è particolarmente preoccupante perché consente l'accesso ad aggressori non autenticati. “Non autenticato” significa che non è necessario che un utente malintenzionato sia registrato sul sito Web o abbia alcun livello di credenziali.

La vulnerabilità viene descritta come consentire l'eliminazione di directory non autenticate e consentire il caricamento di payload Cross-Site Scripting (XSS).

Cross-Site Scripting (XSS) è un tipo di attacco in cui uno script dannoso viene caricato su un server di un sito Web, che può quindi essere utilizzato per attaccare in remoto i browser di eventuali visitatori. Ciò può comportare l'accesso ai cookie o alle informazioni sulla sessione di un utente, consentendo all'aggressore di assumere il livello di privilegio di quell'utente che visita il sito.

La causa della vulnerabilità, come identificato dai ricercatori di Wordfence, è la mancanza di un controllo di capacità, una funzionalità di sicurezza che verifica se un utente ha accesso a una funzionalità specifica di un plug-in, in questo caso, una funzionalità a livello di amministratore.

Un ufficiale Pagina degli sviluppatori WordPress per produttori di plugin dice questo sul controllo della capacità:

“Le funzionalità utente sono le autorizzazioni specifiche che assegni a ciascun utente o a un ruolo utente.

Ad esempio, gli amministratori hanno la funzionalità “manage_options” che consente loro di visualizzare, modificare e salvare le opzioni per il sito web. Gli editor invece non hanno questa capacità che impedirà loro di interagire con le opzioni.

Queste funzionalità vengono quindi verificate in vari punti all'interno dell'Admin. A seconda delle capacità assegnate a un ruolo; menu, funzionalità e altri aspetti dell'esperienza WordPress potrebbero essere aggiunti o rimossi.

Quando crei un plug-in, assicurati di eseguire il codice solo quando l'utente corrente ha le funzionalità necessarie. “

Wordfence descrive la causa della vulnerabilità:

“… è vulnerabile alla modifica non autorizzata dei dati e allo Stored Cross-Site Scripting a causa di un controllo di capacità mancante sulla funzione update_settings() collegata tramite admin_init in tutte le versioni fino alla 5.7.9 inclusa.”

Wordfence afferma inoltre che gli aggiornamenti precedenti hanno tentato di colmare il divario di sicurezza, ma considera la versione 5.7.10 la versione più sicura del plug-in.

Leggi l'avviso di vulnerabilità di Wordfence:

Oh mio Dio | Conforme GDPR/DSGVO, Google Fonts più veloci. Facile. <= 5.7.9 – Autorizzazione mancante alla cancellazione di directory non autenticate e al cross-site scripting

Immagine in primo piano di Shutterstock/Nikulina Tatiana