Categoria: Wordpress

26 aprile 2024Sala stampaIntelligence sulle minacce/Attacchi informatici

Gli autori delle minacce stanno tentando di sfruttare attivamente una falla di sicurezza critica nel plug-in automatico ValvePress per WordPress che potrebbe consentire l'acquisizione del sito.

Il difetto, tracciato come CVE-2024-27956ha un punteggio CVSS di 9,9 su un massimo di 10. Ha effetto su tutte le versioni del plugin precedenti alla 3.92.0. Il problema è stato risolto nel versione 3.92.1 rilasciato il 27 febbraio 2024, sebbene le note di rilascio non ne facciano menzione.

“Questa vulnerabilità, un difetto SQL injection (SQLi), rappresenta una grave minaccia poiché gli aggressori possono sfruttarla per ottenere accesso non autorizzato ai siti Web, creare account utente a livello di amministratore, caricare file dannosi e potenzialmente assumere il pieno controllo dei siti interessati”, WPScan disse in un avviso questa settimana.

Secondo la società di proprietà di Automattic, il problema è radicato nel meccanismo di autenticazione dell'utente del plugin, che può essere banalmente aggirato per eseguire query SQL arbitrarie sul database mediante richieste appositamente predisposte.

Negli attacchi osservati finora, CVE-2024-27956 viene utilizzato per query di database non autorizzate e per creare nuovi account amministratore su siti WordPress sensibili (ad esempio, nomi che iniziano con “xtw”), che potrebbero quindi essere sfruttati per successivi attacchi post-vendita. azioni di sfruttamento.

Ciò include l'installazione di plug-in che consentono di caricare file o modificare codice, indicando tentativi di riutilizzare i siti infetti come stager.

“Una volta che un sito WordPress viene compromesso, gli aggressori garantiscono la longevità del loro accesso creando backdoor e offuscando il codice”, ha affermato WPScan. “Per eludere il rilevamento e mantenere l'accesso, gli aggressori possono anche rinominare il file vulnerabile WP-Automatic, rendendo difficile per i proprietari di siti Web o gli strumenti di sicurezza identificare o bloccare il problema.”

Il file in questione è “/wp‑content/plugins/wp‑automatic/inc/csv.php”, che è stato rinominato in qualcosa come “/wp‑content/plugins/wp‑automatic/inc/csv65f82ab408b3.php.”

Detto questo, è possibile che gli autori delle minacce lo facciano nel tentativo di impedire ad altri aggressori di sfruttare i siti già sotto il loro controllo.

CVE-2024-27956 era divulgato pubblicamente dalla società di sicurezza WordPress Patchstack il 13 marzo 2024. Da allora, sono stati rilevati più di 5,5 milioni di tentativi di attacco per sfruttare la falla come arma.

La divulgazione arriva perché sono stati rilevati gravi bug in plugin come Email Subscribers di Icegram Express (CVE-2024-2876Punteggio CVSS: 9,8), Forminatore (CVE-2024-28890Punteggio CVSS: 9,8) e Registrazione utente (CVE-2024-2417Punteggio CVSS: 8.8) che potrebbe essere utilizzato per estrarre dati sensibili come gli hash delle password dal database, caricare file arbitrari e concedere privilegi di amministratore a un utente autenticatore.

Anche Patchstack ha avvertito di un problema senza patch nel plug-in Poll Maker (CVE-2024-32514, punteggio CVSS: 9,9) che consente agli aggressori autenticati, con accesso a livello di abbonato e superiore, di caricare file arbitrari sul server del sito interessato, portando all'esecuzione di codice remoto .

(La storia è stata aggiornata dopo la pubblicazione per correggere le versioni del plugin interessate da CVE-2024-27956.)

Per i proprietari di siti WordPress, avere un plugin di backup è assolutamente cruciale. C'è sempre il rischio di violazioni dei dati, problemi di sicurezza o anche errori umani comuni quando si effettuano aggiornamenti del sito Web che possono portare alla perdita completa del sito Web. E il impatto della perdita di dati sul business può essere catastrofico. Il modo migliore per proteggere il tuo sito web è utilizzare plugin di backup per mantenere i tuoi dati sicuri e protetti. Ecco perché abbiamo raccolto alcuni dei migliori plugin di backup di WordPress per il tuo sito Web WordPress da prendere in considerazione.

I 10 migliori plugin per il backup di WordPress

I plugin di backup di WordPress hanno molto valore per il tuo sito web, motivo per cui è così fondamentale trovare quello giusto per te. Qualsiasi plug-in di backup che utilizzi dovrebbe includere funzionalità che ti aiutino a ripristinare il tuo sito, come backup automatici, la possibilità di ripristinare i backup e più opzioni di archiviazione cloud a seconda di dove sono archiviati i tuoi dati. Inoltre, i plugin di backup di WordPress confrontati tra loro possono aiutarti a selezionare quello migliore mentre cerchi una soluzione di backup del sito web.

1. UpDraftPlus

UpDraftPlus è noto come uno strumento di backup WordPress affidabile che può funzionare per l'intero sito. Con UpDraftPlus puoi ripristinare il tuo sito in pochi clic, rendendolo semplice e facile. Inoltre, puoi pianificare rapidamente i backup di WordPress con lo strumento e offre anche una varietà di strumenti avanzati per mantenere il tuo sito sicuro.

Le versioni gratuite e premium di UpDraftPlus offrono backup manuali, backup pianificati automatizzati e semplici opzioni di ripristino. La versione premium dispone di opzioni di backup aggiuntive, oltre a supporto dedicato e opzioni di archiviazione remota.

Prezzo: Tassa annuale di $ 42

2. BlogVault

blogvault è un plugin di backup affidabile che ha ricevuto recensioni entusiastiche. Se stai cercando un plugin per WordPress che offra backup cloud sicuri e ti permetta di pianificare backup automatici, allora BlogVault dovrebbe essere sul tuo radar. BlogVault offre anche backup incrementali, il che significa caricare meno i server e mantenere buone prestazioni del tuo sito web. Offre inoltre un rapido ripristino dei siti Web e altro ancora per garantire un processo di backup efficace.

Prezzo: BlogVault offre una prova gratuita di 7 giorni, con prezzi a partire da $ 89 per il backup del sito Web, $ 149 per backup e sicurezza e $ 249 per backup in tempo reale e altro ancora.

3. Duplicatore

duplicatore è un plugin di backup per WordPress e anche un plugin di migrazione. Ciò significa che puoi utilizzare Duplicator per cambiare facilmente sito Web senza perdere i dati, effettuando allo stesso tempo il backup dell'intero sito WordPress senza tempi di inattività intermedi.

Duplicator è il miglior plug-in di backup per coloro che desiderano eseguire il backup manuale dei propri siti Web e crea versioni clonate per ripristinare i backup secondo necessità. La versione a pagamento di Duplicator include backup automatici su Dropbox, Google Drive e altre posizioni di archiviazione remote.

Prezzo: Il duplicatore è gratuito; Duplicator Pro varia tra $ 69-549 a seconda delle esigenze.

4. Backup JetPack

Backup JetPack è un'altra soluzione di backup popolare per i siti WordPress e include anche una serie di funzionalità utili. JetPack Backups offre backup di database, backup di archiviazione cloud, ripristino offline ed è una soluzione di backup completa perfetta per un sito Web WordPress. Inoltre, il plug-in JetPack Backup include backup completi, una funzionalità di backup incrementale e un'opzione differenziale per i backup in tempo reale.

Prezzo: A partire da $ 9, $ 11 o $ 47 al mese fatturati annualmente.

5. Backup del database WP

Backup del database WP è una soluzione di backup di WordPress ideale per database e informazioni di contatto. WP Database Backup offre sia backup automatizzati che un'opzione di backup manuale. Puoi ottenere backup completi del tuo database con questo plugin e archiviare i tuoi backup su Amazon s3, Google Drive, Dropbox e altro.

Prezzo: WP Database Backup è un plugin di backup gratuito

6. IndietroWPup

IndietroWPup è considerato la scelta migliore per il miglior plugin di backup di WordPress per molte ragioni. Ha una vasta gamma di funzionalità, inclusi backup automatici, archivi di backup illimitati e altro ancora. Con BackWPup, puoi creare una pianificazione di backup adatta alle tue esigenze e inviare i backup all'archiviazione fuori sede secondo necessità. BackWPup funziona con Rackspace Cloud Storage, Amazon S3 e altri servizi su cui archiviare i tuoi backup.

Prezzo: A partire da $ 69 fino a $ 349 a seconda del pacchetto selezionato

7. Backup amico

Compagno di riserva è un popolare plugin di backup di WordPress poiché è facile da usare con WordPress come provider di hosting. Con Backup Buddy puoi creare pianificazioni di backup automatiche per il tuo sito web e i file WordPress. Potrai eseguire il backup del tuo sito su un archivio esterno e monitorare facilmente le risorse del server per assicurarti che il tuo sito web funzioni bene. Il tuo file di backup conterrà ogni elemento del tuo sito web, facilitandone il ripristino in caso di emergenza o arresto anomalo.

Prezzo: Il prezzo parte da $ 80 per l'anno fino a $ 199.

8. Capsula del tempo WP

WP Capsula del tempo fornisce sia i backup del sito Web che la gestione temporanea del sito Web, quindi è il miglior strumento di backup di WordPress se stai cercando anche queste funzionalità. Utilizzando il plug-in, puoi eseguire backup incrementali per preservare le risorse e mantenere veloce il tuo sito web. Ciò significa che una volta installato ed eseguito un backup iniziale, eseguirà un backup solo quando verranno apportate nuove modifiche al sito Web. Viene eseguito immediatamente il backup di tutte le modifiche e nel lungo periodo si risparmia molto spazio sul server poiché i file di backup sono più piccoli.

Prezzo: A partire da $ 49 all'anno, fino a $ 199 all'anno.

9. Backup di WordPress

Se stai cercando un plugin gratuito per eseguire il backup del tuo sito, BackUpWordPress potrebbe essere l'opzione migliore per te. Con BackUpWordPress, ottieni un backup completo del tuo sito e puoi anche pianificare i backup secondo necessità per una maggiore flessibilità. Tuttavia, BackUpWordPress non supporta il backup su archivi cloud come Dropbox o Google Drive, il che potrebbe rappresentare un'opzione limitante per alcuni.

Prezzo: Gratuito

10. WP Vivid

WPVivid è ottimo per coloro che necessitano di un plug-in di backup WordPress gratuito. Con WPVivid, gli utenti possono eseguire il backup, ripristinare e migrare i propri siti Web con un unico semplice strumento. Gli utenti possono eseguire backup completi, inclusi backup automatici pianificati su archivi offsite come Google Drive, Dropbox e Amazon S3. C'è anche la possibilità di un plugin di backup WordPress premium con la versione WPVivid Pro. La versione pro include più opzioni di personalizzazione per i proprietari di siti web.

Prezzo: A partire da $ 49 fino a $ 149.

Che cos'è uno strumento plug-in di backup di WordPress?

Uno strumento plug-in di backup di WordPress viene utilizzato per garantire che venga eseguito il backup di un sito Web WordPress e possa essere ripristinato se necessario. Il plug-in di backup viene aggiunto alla dashboard WordPress di un sito Web e può essere utilizzato per pianificare backup automatici con WPVividoppure gli utenti possono eseguire manualmente il backup di un sito Web, se necessario.

Perché hai bisogno di eseguire il backup del tuo sito WordPress?

Con così tanti rischi legati a violazioni dei dati, attacchi hacker, tempi di inattività del server e altro ancora, il backup del tuo sito Web WordPress è più importante che mai. Ecco alcuni dei motivi per cui è così vitale eseguire il backup del tuo sito Web WordPress.

1. La sicurezza dei dati: Mantenere i tuoi dati al sicuro è una parte importante della tua attività e i backup dei siti Web aiutano a garantire la sicurezza. Puoi eseguire periodicamente il backup del tuo sito per garantire che tutti i tuoi dati siano al sicuro da qualche parte e accessibili se necessario durante un'emergenza.
2. Ripristino rapido del sito web: I siti web sono sempre in pericolo, sia che si tratti di un arresto anomalo casuale o di un tentativo di hacking. Eseguendo il backup del tuo sito Web WordPress, puoi proteggere i tuoi dati e ripristinare rapidamente il tuo sito Web in caso di arresto anomalo o vittima di un attacco informatico.
3. Prevenire la perdita di dati: Quando i siti web non funzionano o vengono violati, perdi l'accesso al tuo sito e perdi dati preziosi. Il backup del tuo sito non solo mantiene i tuoi dati al sicuro, ma previene anche gravi perdite di dati in generale in modo da non perdere modifiche o aggiornamenti.
4. Protezione contro l'errore umano: I backup di WordPress mantengono il tuo sito web al sicuro da errori umani. I backup regolari possono aiutare a ottimizzare le prestazioni del sito Web e fungere da misura di sicurezza quando vengono apportati aggiornamenti e modifiche. Anche se viene commesso un errore lungo il percorso, gli utenti possono ripristinare rapidamente i siti Web.

Come si sceglie il miglior plugin di backup di WordPress?

Scegliere il miglior plugin di backup di WordPress significa valutare diversi fattori per scegliere quello giusto. Sul mercato sono disponibili plugin tra cui scegliere, quindi comprendere alcune delle diverse considerazioni può essere utile per restringere il campo delle scelte.

1. Opzioni di archiviazione: Dove salva il backup il plug-in di backup e con quanta facilità è possibile accedere ai file di backup? Molti plugin di backup possono salvare su posizioni di archiviazione esterne come Google Drive, Dropbox, ecc., che potrebbero essere più sicure. Altri plugin di backup potrebbero non offrire tali funzionalità e salvare sullo stesso server del sito web, il che potrebbe essere meno sicuro.
2. Prezzo: Un altro fattore da considerare è il prezzo. Puoi optare per un plugin di backup WordPress gratuito che ha funzioni limitate ma è conveniente, oppure rinunciare alla versione gratuita e scegliere un plugin premium con più funzionalità a seconda del budget.
3. Aggiornamenti regolari: Quando si esaminano i plugin di WordPress, è altrettanto fondamentale vedere quanto spesso aggiornano il plugin (se mai) e quanto bene funziona dopo che gli aggiornamenti sono stati implementati. Se i plugin non vengono aggiornati regolarmente o non funzionano molto bene, possono essere obsoleti e rappresentare un rischio per il sito.
4. Automatico o manuale: Alcuni plugin di backup di WordPress sono facili da usare perché automatizzano i backup e funzionano secondo una pianificazione. Questa può essere davvero una buona opzione per molti, ma può anche comportare dei rischi. Possono verificarsi perdite di dati e altri problemi se i backup non vanno secondo i piani o non sono configurati correttamente. I backup manuali offrono un po’ più di controllo nel processo, ma potrebbero essere inefficienti se i team non eseguono il backup del sito Web con la frequenza necessaria.
5. Altre caratteristiche: A seconda delle esigenze aziendali, anche esaminare altre funzionalità offerte dal plug-in può aiutare durante il processo di selezione. Alcuni plugin offrono opzioni aggiuntive come migrazioni, gestione temporanea del sito Web e altre personalizzazioni secondo necessità. Tuttavia, alcuni plugin potrebbero non offrire funzionalità aggiuntive o non aggiungere molto al plugin rendendolo meno attraente.

Immagine: Depositphotos

SlowMist, un affermato fornitore di sicurezza per catene, lo ha fatto di recente avvertito di un nuovo ciclo di attacchi virtuali a siti affidabili attraverso l’abuso di falle di sicurezza nei plugin di WordPress.

Come afferma l’avviso, queste vulnerabilità vengono sfruttate da soggetti malintenzionati per inserire codice JavaScript pericoloso nei siti Web violati, che successivamente avviano quelli che sono notoriamente noti come attacchi Watering Hole.

In questo schema altamente tecnico, gli utenti che non prestano abbastanza attenzione durante la visita di questi siti rischiano di imbattersi in popup dannosi, che sono strumenti rischiosi di cui trarre vantaggio. Pop-up come questi sono progettati per indurre gli utenti a eseguire codice dannoso e ad autorizzare le firme del portafoglio Web3 con l'obiettivo finale di provocare il furto di cripto-asset.

Come possono gli utenti rimanere protetti?

1. Vigilanza sui plugin

Si consiglia agli amministratori dei siti Web di effettuare valutazioni approfondite della vulnerabilità dei propri plugin WordPress. È necessario effettuare tempestivamente una valutazione della vulnerabilità e quindi applicare gli ultimi aggiornamenti e patch di sicurezza. L'aggiornamento dei plug-in dei siti Web consente ai proprietari di siti Web di ridurre più volte la probabilità di essere hackerati da criminali informatici.

2. Attenzione per l'utente

Gli utenti devono prestare attenzione durante la navigazione sul web, soprattutto su quei siti che svolgono attività Web3. È fondamentale approfondire il contenuto materiale e le firme durante i dialoghi virtuali. Le persone dovrebbero evitare di scaricare o fare affari con programmi sconosciuti. Devono verificare attentamente se le firme Web3 appartengono o meno a loro per evitare transazioni non autorizzate e furti di beni.

Essendo consapevoli, utilizzando le ultime versioni disponibili di vari strumenti e pratiche di navigazione sicura, i proprietari di siti Web e gli utenti possono offrire alla comunità un ambiente Internet più sicuro.

Man mano che gli aggressori informatici migliorano il proprio livello di competenza, la consapevolezza e la conformità alle migliori pratiche rimangono le chiavi per prevenire attacchi informatici distinti, oltre a proteggere i dati e le risorse digitali da accessi non autorizzati. Sii sempre consapevole, sii sempre cauto e cerca di rafforzare la sicurezza di tutte le tue attività online.

Lo sapevi: An Unità investigativa ufficiale per le criptovalute da installare in Corea del Sud nel contesto di un'ondata di criminalità

In poche parole: Molti plugin di WordPress sono progettati per migliorare la capacità del sistema di gestione dei contenuti di condividere rapidamente e facilmente contenuti da quasi ovunque su Internet. Ma un plugin particolare e popolare sembra rendere la vita più facile anche ai criminali informatici.

Il plugin WP Automatic è stato compromesso da una grave vulnerabilità di sicurezza che gli hacker sfruttano dal mese scorso. Questo plugin ha oltre 38.000 clienti paganti, consentendo ai siti WordPress di aggiungere facilmente nuovi post da varie fonti, come feed RSS, YouTube, Twitter o generando contenuti tramite ChatGPT.

Tracciato come CVE-2024-27956, il difetto è stato divulgato dalla società di sicurezza Patchstack a marzo e ha ricevuto un punteggio di gravità di 9,9 (su 10). Viene descritta come una vulnerabilità SQL injection altamente pericolosa, con gli analisti che prevedono uno sfruttamento diffuso dopo che gli hacker ne sono venuti a conoscenza. Secondo Patchstack, gli autori malintenzionati possono “interagire direttamente” con il database SQL di un sito WordPress, manipolando potenzialmente informazioni personali, account utente e altro ancora.

ValvePress, l'editore di WP Automatic, ha risolto il difetto di SQL injection nell'ultima versione del plugin (3.92.1) senza riconoscere il problema risolto nelle note di rilascio. Tuttavia, gli hacker hanno scoperto rapidamente CVE-2024-27956; UN recente bollettino dalla società di sicurezza WPScan ha affermato che il bug è stato preso di mira da oltre 5,5 milioni di tentativi di attacco dal 13 marzo 2024.

WPScan descrive il tipico processo di sfruttamento per CVE-2024-27956, che inizia con l'esecuzione di una query sul database non autorizzata e termina con la proprietà totale del sito Web compromesso. Una volta entrati, gli hacker possono creare nuovi account utente amministratore, caricare nuovi malware e plug-in e altro ancora. I criminali potrebbero anche rinominare lo script WAP PHP vulnerabile, assicurandosi che nessun'altra “cyber-gang” possa sfruttare la falla.

Una volta che un sito WordPress viene compromesso, un utente malintenzionato può creare backdoor e offuscare il proprio codice dannoso. Nella maggior parte dei siti compromessi scoperti da WPScan, i criminali informatici hanno installato i propri plugin per caricare file e modificare facilmente il codice. CVE-2024-27956 rappresenta un rischio per la sicurezza estremamente serio e tutti i clienti di WP Automatic sono invitati ad aggiornare immediatamente all'ultima versione del plugin, anche se alcuni ricercatori si chiedono se si qualifichi come un “vero” problema di SQL injection.

Uno sviluppatore senza nome ha notato che il plug-in WP Automatic è progettato per elaborare query SQL solo da utenti autorizzati. CVE-2024-27956 consente agli hacker di aggirare questi controlli di autorizzazione, mentre un'iniezione SQL avviene quando un utente malintenzionato incorpora codice SQL in quelli che “dovrebbero essere solo dati”, il che, secondo lo sviluppatore, non è il caso del WAP.

Donna Cavalier ha annunciato il visione del mercato di WordPress.com oggi tramite il blog di notizie del sito. Questo futuro includerà l’offerta di più temi, plugin e servizi premium agli utenti. Automattic, la società dietro il sito, collaborerà con sviluppatori di terze parti per portare queste offerte commerciali ai propri clienti.

Gli sviluppatori di plugin, i progettisti di temi e i fornitori di servizi WordPress possono entrare nell'elenco di accesso anticipato compilando il modulo nel post dell'annuncio.

Alla fine di gennaio, WordPress.com ha annunciato a marketplace di plugin interno e limitato. Questo è stato il banco di prova prima di aprire la porta agli altri. Il lancio includeva sei estensioni WooCommerce e da allora è cresciuto fino a otto. I piani tariffari vanno da $ 4 a $ 21 mensili e da $ 44 a $ 224 annuali, a seconda del plug-in acquistato.

Gli utenti devono attualmente avere un piano Business o eCommerce per installare i plugin. Se pagati annualmente, questi piani costano rispettivamente $ 300 e $ 540. Per alcuni utenti, l'aggiunta di plugin commerciali sarà fuori portata a meno che WordPress.com non lo apra ai livelli Premium o Personal a basso prezzo.

Matt Mullenweg, CEO di Automattic e co-fondatore di WordPress ha commentato l'annuncio di gennaio:

Sicuramente apriremo maggiormente questo programma in futuro, prima con alcuni plugin premium di punta per testare beta cose inclusi pagamenti e tracciamento, e poi lo apriremo maggiormente a chiunque voglia farne parte.

Abbiamo circa 2 milioni di persone con dettagli di pagamento salvati che possiamo rendere facile l'aggiornamento con un clic, quindi speriamo che questo rappresenti un grande nuovo pubblico potenziale e una base di clienti per le persone che vendono articoli nell'ecosistema WP. E, naturalmente, daremo la priorità alla collaborazione con sviluppatori e aziende che partecipano a Five for the Future e contribuiscono alla comunità WP.

Un pubblico integrato di 2 milioni di utenti attirerà probabilmente molti sviluppatori all'interno dell'ecosistema. Questo potrebbe essere un vantaggio per coloro che desiderano far crescere il proprio pubblico.

Tuttavia, il diavolo è sempre nei dettagli. L'annuncio non includeva i dettagli più delicati, come la ripartizione degli utili e quello che potrebbe essere un processo rigoroso, a giudicare dal Linee guida per il mercato.

Dando priorità a coloro che contribuiscono Cinque per il futuro (5ftF), WordPress.com potrebbe limitare il pool alle aziende che possono permettersi di dedicare tempo al progetto WordPress open source. Ciò potrebbe mettere in svantaggio le aziende più piccole o i nuovi sviluppatori nel settore. Alcuni hanno semplicemente bisogno di aiuto per mettere piede nella porta.

5ftF è un'iniziativa che incoraggia le organizzazioni a contribuire con il 5% delle proprie risorse a WordPress.

Il programma riconosce inoltre solo le ore conferite tramite un Make Team. Non ci sono altre opzioni selezionabili tramite la scheda Contributo sui profili WordPress.org. Le ore trascorse a sviluppare plugin gratuiti, temi e modi alternativi per restituire qualcosa alla comunità non si contano. Questi tipi di contributi possono facilmente estendersi oltre il 5% del tempo o delle risorse di uno sviluppatore o di un'azienda.

Esiste anche un problema di impegni 5ftF falsi e dormienti. Andrea Middleton notato in un post lo scorso agosto che questo è stato un problema da quando il sistema è stato messo in atto nel 2019:

Il programma funziona secondo il sistema dell'onore e non era chiaro quale sarebbe stato il rischio al momento del lancio. Due anni dopo, ci sono state sicuramente più promesse di “spam” di quanto chiunque vorrebbe, e sorprendentemente (per me) poche segnalazioni di promesse di spam o false. Ciò che mi dice = o le persone non vanno a curiosare negli elenchi degli impegni, controllandone l'accuratezza, la funzione Report è troppo difficile da trovare (improbabile), oppure alle persone non interessa davvero se gli impegni sono accurati o meno.

Penso che un numero considerevole di promesse false/false/spam siano un problema, perché svalutano il valore delle promesse sincere/attive/reali. Se non intendiamo mai fare pulizia, allora dovremmo probabilmente considerare di chiudere il programma o inserire più disclaimer sul sito.

Ian Dunn, un collaboratore di WordPress tramite Automattic, ha aperto un file monitoraggio del ticket su GitHub per ripulire le promesse inesatte di quattro giorni fa.

Gli hacker hanno individuato una vulnerabilità critica del plugin WP-Automatic, mirando a infiltrarsi nei siti Web WordPress creando account amministratore non autorizzati, secondo recenti rapporti. La falla, identificata nelle versioni precedenti alla 3.9.2.0 del plugin WP Automatic, ha spinto gli esperti di sicurezza informatica a emettere avvisi urgenti ai proprietari e agli amministratori dei siti web.

La vulnerabilità, contrassegnata con l'identificatore “CVE-2024-27956“, è stato caratterizzato come un problema di elevata gravità con un punteggio CVSS di 9,8. Si tratta di un difetto di SQL injection nel meccanismo di autenticazione utente del plugin, che essenzialmente consente agli autori delle minacce di aggirare le misure di sicurezza e ottenere privilegi amministrativi.

Vulnerabilità del plugin WP-Automatic da decodifica

Lo sfruttamento di questa vulnerabilità garantisce agli hacker la possibilità di impiantare backdoor all'interno dei siti Web, garantendo un accesso non autorizzato prolungato.

I rapporti indicano che gli hacker hanno sfruttato attivamente questa situazione vulnerabilitàsfruttando l'uso diffuso del plug-in WP Automatic su oltre 30.000 siti Web. L'exploit consente loro di eseguire varie attività dannose, tra cui la creazione di account amministratore, il caricamento di file danneggiati e l'esecuzione di attacchi SQL injection.

Ricercatori di sicurezza informatica hanno osservato un aumento dei tentativi di exploit, con oltre 5,5 milioni di attacchi registrati da quando la vulnerabilità è stata resa pubblica. Il panorama delle minacce è aumentato rapidamente, raggiungendo il picco il 31 marzo, sottolineando l’urgenza per i proprietari di siti web di intraprendere azioni immediate per proteggere le proprie risorse online.

Il lato tecnico delle vulnerabilità del plugin WP-Automatic

Il plug-in automatico, sviluppato da ValvePress, deve affrontare una sfida oltre ogni comprensione poiché la vulnerabilità colpisce migliaia di utenti che hanno scaricato il plug-in tramite WordPress e altri mercati di plug-in WP.

La vulnerabilità derivava dal file inc/csv.php, che consentiva agli utenti non autenticati di fornire ed eseguire query SQL arbitrarie. Nonostante i controlli iniziali utilizzando la funzione wp_automatic_trim(), aggirarli era fattibile fornendo una stringa vuota come parametro di autenticazione ($auth) e creando l'hash MD5 della query SQL per sovvertire i controlli di integrità.

Inoltre, la vulnerabilità risiedeva nel file downloader.php, dove gli utenti non autenticati potevano fornire URL arbitrari o anche file locali tramite $_GET[‘link’] parametro per il recupero tramite cURL. Questo difetto ha facilitato gli attacchi SSRF (server-side request forgery).

Per mitigare il vulnerabilitàil venditore ha adottato diverse misure. Per il Esecuzione SQL vulnerabilità, l'intero file inc/csv.php è stato rimosso. Per la vulnerabilità Download file e SSRF è stato implementato un controllo nonce, abbinato a controlli di convalida sulla variabile $link.

Mitigazione della vulnerabilità del plugin WP-Automatic

Per salvaguardarsi da potenziali compromessi, sicurezza informatica gli analisti raccomandano le seguenti misure, incluso l'aggiornamento regolare del plug-in WP-Automatic alla sua versione più recente, fondamentale per correggere le vulnerabilità note e rafforzare le misure di sicurezza. I controlli regolari degli account utente di WordPress aiutano a identificare e rimuovere utenti amministratori non autorizzati o sospetti, riducendo il rischio di accesso non autorizzato.

L’utilizzo di robusti strumenti di monitoraggio della sicurezza aiuta a rilevare e rispondere tempestivamente ad attività dannose, migliorando le capacità di rilevamento delle minacce. È essenziale mantenere aggiornati i backup del sito web dati per consentire un rapido ripristino in caso di compromissione, riducendo al minimo i tempi di inattività e la perdita di dati.

Gli amministratori dei siti web dovrebbero prestare attenzione agli indicatori di compromissione, inclusi gli account amministratore con nomi che iniziano con “xtw”, percorsi di file vulnerabili rinominati e file con hash SHA1 rilasciati nel file system del sito.

Lo sfruttamento delle vulnerabilità del plug-in WP-Automatic evidenzia il fenomeno in corso minacce alla sicurezza informatica all'interno degli ecosistemi WordPress. Implementando tempestivamente le misure di mitigazione suggerite e stando attenti a potenziali indicatori di compromissione, i proprietari di siti Web possono rafforzare le proprie difese contro gli autori malintenzionati che mirano a sfruttare queste vulnerabilità.

Dichiarazione di non responsabilità per i media: questo rapporto si basa su ricerche interne ed esterne ottenute con vari mezzi. Le informazioni fornite sono solo a scopo di riferimento e gli utenti si assumono la piena responsabilità per aver fatto affidamento su di esse. Il Cyber-Espresso non si assume alcuna responsabilità per l'accuratezza o le conseguenze dell'utilizzo di queste informazioni.

Imparentato