Recentemente, un plugin utilizzato da oltre un milione Sito WordPress si è scoperto che i proprietari avevano un bug in una versione precedente che registrava le password in testo normale. Sebbene il problema sia stato risolto in un aggiornamento, le credenziali potrebbero ancora fluttuare nei log, quindi assicurati di dare un’occhiata.
Il plug-in All-In-One Security (AIOS) per WordPress include funzionalità di sicurezza dell’accesso come misuratori di sicurezza della password e autenticazione a due fattori, firewall e protezione dei file e protezione dei contenuti. Anche se si potrebbe pensare che si tratti di un plugin abbastanza robusto, poco più di tre settimane fa è stato scoperto che registra le password in chiaro. Utente c0ntr07 trovato che all’interno di aiowps_audit_log venivano salvati i nomi utente e le password associate.
Questo è stato descritto dal supporto come un problema noto nella versione 5.19 del plugin e verrà risolto nella prossima versione. Tuttavia, c0ntr07 li ha richiamati, chiedendo perché non si trattava di una vulnerabilità critica e ricevendo immediatamente una patch. In precedenza aveva notato che questo tipo di problema non avrebbe consentito la conformità agli standard NIST 800-63-3, ISO27000, CIS, HIPAA, GDPR e altri. A seguito di questa chiamata, il supporto si è adoperato per fornire a c0ntr07 una copia di sviluppo dell’aggiornamento mentre si lavorava per pubblicare l’aggiornamento completo.
Sembra che ci siano ancora parecchie persone che non hanno ancora aggiornato.
La versione 5.2.0, che avrebbe dovuto risolvere il problema, non ha funzionato per tutti, quindi il team AIOS ha dovuto passare alla versione 5.2.1 per risolvere completamente il problema. In fin dei conti, questo non solo fa luce sui problemi relativi alla fiducia cieca negli strumenti, ma anche su alcune pratiche di sicurezza. IL Blog dell’AIOS rileva che se qualcuno con accesso ai registri contenenti le password le prendesse, potrebbero essere utilizzate sul sito WordPress o potenzialmente altrove con un attacco di credential stuffing.
Questo, ovviamente, è un sottile promemoria a non riutilizzare le password, poiché ne basta una sola sicurezza violazione per accedere a tutti i tuoi account, soprattutto se alcuni di essi non utilizzano l’autenticazione a due fattori, il che altrimenti renderebbe le cose un po’ più difficili. Pertanto, ti consigliamo di utilizzare un gestore di password, in modo che tu debba ricordare solo una password complessa per poter avere una password diversa per ogni sito web. Oltre a ciò, se sei un utente AIOS, è tempo di aggiornare il plug-in ed eliminare i registri per rimanere al sicuro.
WordPress è un sistema di gestione dei contenuti altamente personalizzabile. Con i plugin giusti, può diventare una solida piattaforma di email marketing per creare una newsletter e creare un elenco di abbonati.
Ecco un elenco di plugin per newsletter per WordPress. Esistono plug-in per progettare e pubblicare newsletter, gestire gli abbonati, monitorare le campagne e creare elenchi di abbonati utilizzando strumenti di opt-in e di lead generation.
Plugin per newsletter per WordPress
Il plugin per la newsletter è una newsletter e marketing via email sistema per un sito WordPress. È dotato di un compositore drag-and-drop reattivo per e-mail, abbonati illimitati con statistiche, e-mail illimitate con monitoraggio, targeting avanzato e altro ancora. Aggiungi funzionalità tramite estensioni premium, come newsletter automatizzate da post di blog, autorisponditori, sofisticate statistiche di raccolta e targeting e integrazioni avanzate. Prezzo: Basic è gratuito. I piani premium partono da $ 65 per tutte le estensioni e un anno di aggiornamenti.
Il plugin per la newsletter
InviaPress ti consente di creare facilmente newsletter via email in WordPress. Importa i contenuti dei post dal tuo sito e pianifica la distribuzione delle newsletter. Crea modelli personalizzati. Tieni traccia di aperture, clic e altro ancora. SendPress offre modelli personalizzabili, abbonati illimitati e opt-in singolo e doppio, tra gli altri vantaggi. Prezzo: Basic è gratuito. I piani premium partono da $ 39 all’anno.
Sumo fornisce strumenti per acquisire indirizzi e-mail far crescere gli abbonati. Utilizza il Generatore di elenchi per creare popup visualizzati in corrispondenza di clic, timer, articoli e prima che le persone se ne vadano. Crea pagine di destinazione di invito all’azione, caselle di scorrimento personalizzabili e barre intelligenti per catturare iscritti senza interrompere la loro esperienza. Si integra con i principali servizi di posta elettronica e, anche, con WooCommerce per creare offerte e sconti unici insieme a moduli per aumentare il valore medio dell’ordine e ridurre l’abbandono del carrello. Prezzo: Basic è gratuito per un massimo di 10.000 abbonati e-mail al mese. I piani premium partono da $ 39 al mese.
MailPoet ti consente di creare, pianificare e inviare newsletter senza lasciare l’amministratore di WordPress. Gestisci gli abbonati e gli elenchi degli abbonati. Crea e-mail automatiche per inviare notifiche di nuovi post. MailPoet include statistiche sul coinvolgimento del pubblico e un personalizzatore di posta elettronica WooCommerce. La versione Premium include tracciamento, etichettatura bianca e supporto in giornata. Prezzo: Basic è gratuito. I piani premium partono da $ 13 al mese. La versione Premium è gratuita per meno di 1.000 abbonati.
MailPoet
MailChimp per WordPress ti aiuta a far crescere le tue liste Mailchimp e a creare newsletter migliori. Crea moduli di adesione attraenti o integrali con i moduli esistenti sul tuo sito, come moduli di commento, di contatto o di pagamento. Il componente aggiuntivo Premium include l’integrazione avanzata con WooCommerce, notifiche e-mail e report e statistiche dettagliati. Prezzo: gratuito. I piani premium partono da $ 59 all’anno.
Iscritti e-mail di Icegram ti consente di raccogliere lead, inviare e-mail di notifica automatizzate, creare e inviare newsletter e gestire tutto in un unico posto. Aggiungi immagini, infografiche, collegamenti e contenuti a una newsletter. Inserisci una casella di iscrizione ovunque sul tuo sito web. Invia le newsletter manualmente o automaticamente. Prezzo: Basic è gratuito. I piani premium partono da $ 9 al mese.
Newsletter di Tribulant Software è un plug-in per newsletter completo per WordPress per gestire gli abbonati e-mail e pubblicare newsletter. È dotato di modelli, code e pianificazione, gestione dei messaggi di posta elettronica rispediti, incorporamento opt-in, moduli di iscrizione fuori sede, monitoraggio della posta elettronica, autorisponditorie altro ancora. Prezzo: Basic è gratuito. I piani premium partono da $ 65 per un sito Web e un anno di aggiornamenti.
Tribulant Software: newsletter per WordPress
Fioritura è un plug-in di attivazione e-mail e generazione di lead per WordPress. Scegli tra sei tipi di visualizzazione, inclusi popup, fly-in e attivazioni obbligatorie per sbloccare i contenuti. Scegli come target o escludi post e pagine specifici e visualizza moduli unici con offerte uniche basate sulla posizione e sull’interazione del visitatore. Si integra con 19 piattaforme di email marketing. Prezzo: $ 89 all’anno.
OptinMonster è un generatore di pop-up e un plug-in di marketing per aumentare gli abbonati alla tua newsletter. Crea pop-up personalizzati, moduli di iscrizione alla newsletter, pop-up slide-in, barre di annunci e altri moduli di lead generation ad alta conversione in pochi minuti. Visualizza messaggi personalizzati ai visitatori nuovi o di ritorno per sbloccare il massimo potenziale di conversione da ogni visita al sito web. Utilizza gli split test A/B e l’analisi pop-up per prendere decisioni basate sui dati su ciò che funziona meglio. Prezzo: i piani partono da $ 14 al mese.
Postale ti consente di creare, gestire e inviare facilmente campagne di newsletter. Monitora e analizza le tue campagne e i tuoi iscritti. Mailster memorizza tutti i tuoi abbonati all’interno della tua installazione WordPress. Dispone di risposta automatica, analisi in tempo reale, abbonati e moduli illimitati, segmentazione personalizzata, oltre 80 modelli e integrazioni con dozzine di plug-in e servizi. Prezzo: $59 per sei mesi di supporto.
Postale
Jackmail ti consente di creare newsletter senza uscire dalla dashboard di WordPress e di inviarle con un server SMTP integrato. Crea segmenti nelle tue liste e invia campagne personalizzate. Jackmail offre un editor drag-and-drop, un gestore dei contatti, statistiche dettagliate, integrazione con WooCommerce, moduli di adesione, widget, 48 modelli e altro ancora. Prezzo: gratuito fino a 500 email. I piani premium partono da $ 69 al mese.
Generatore di popup è uno strumento flessibile per creare e personalizzare un pop-up di iscrizione per la tua newsletter. Crea e gestisci tutti i popup che desideri. Scegli tra diversi temi. Imposta posizione, effetto di animazione e trigger. Invia campagne di newsletter direttamente da Popup Builder. La versione Pro include l’integrazione di WooCommerce, autorisponditori, pop-up per limiti di età, pop-up per il conto alla rovescia, pop-up MailChimp e targeting avanzato. Prezzo: Basic è gratuito. Pro costa $ 31,95 per due siti Web.
MailOptin è un plugin per creare moduli, raccogliere contatti, registrare utenti e creare e inviare newsletter via email. Invia newsletter attivate da eventi, come notifiche di nuovi post. Visualizza moduli di iscrizione, messaggi mirati e inviti all’azione con popup, moduli, una barra di notifica e widget slide-in e barra laterale. Utilizza il piano premium per creare elenchi segmentati e aumentare l’automazione con la codifica dei lead e le integrazioni. Si integra con i più diffusi fornitori di software di email marketing e piattaforme di gestione dei clienti. Prezzo: i piani partono da $ 79 all’anno.
È stato scoperto che il plug-in di sicurezza WordPress All-In-One Security (AIOS), utilizzato da oltre un milione di siti WordPress, registrava le password in chiaro dai tentativi di accesso degli utenti al database del sito, mettendo a rischio la sicurezza dell’account.
AIOS è una soluzione all-in-one sviluppata da Updraft, che offre firewall per applicazioni web, protezione dei contenuti e strumenti di sicurezza dell’accesso per i siti WordPress, promettendo di fermare i bot e prevenire attacchi di forza bruta.
Circa tre settimane fa, un utente riportato che il plugin AIOS v5.1.9 non solo registrava i tentativi di accesso degli utenti al aiowps_audit_log tabella del database, utilizzata per tenere traccia di accessi, disconnessioni ed eventi di accesso non riusciti ma anche per registrare la password immessa.
L’utente ha espresso preoccupazione per il fatto che questa attività violi diversi standard di conformità alla sicurezza, tra cui NIST 800-63 3, ISO 27000 e GDPR.
Prima segnalazione del difetto(wordpress.org)
Tuttavia, l’agente dell’assistenza di Updraft ha risposto dicendo che si trattava di un “bug noto” e promettendo vagamente che una correzione sarebbe stata disponibile nella prossima versione.
Dopo aver realizzato la criticità del problema, il supporto ha offerto build di sviluppo della prossima versione agli utenti interessati due settimane fa. Tuttavia, coloro che hanno tentato di installare le build di sviluppo hanno segnalato problemi al sito Web e che i registri delle password non sono stati rimossi.
Correzione ora disponibile
Alla fine, l’11 luglio, il fornitore AIOS ha rilasciato la versione 5.2.0, che include una correzione per impedire il salvataggio delle password in testo normale e cancellare le vecchie voci.
“La versione 5.2.0 di AIOS e gli aggiornamenti più recenti hanno corretto un bug nella versione 5.1.9 che faceva sì che le password degli utenti venissero aggiunte al database WordPress in formato testo normale”, si legge nel comunicato. annuncio di rilascio.
“Sarebbe un problema se [malicious] gli amministratori del sito dovevano provare quelle password su altri servizi in cui i tuoi utenti avrebbero potuto utilizzare la stessa password.”
Se i dettagli di accesso delle persone esposte non sono protetti dall’autenticazione a due fattori su queste altre piattaforme, gli amministratori non autorizzati potrebbero facilmente impossessarsi dei loro account.
A parte lo scenario di amministrazione dannosa, i siti Web che utilizzano AIOS si troverebbero ad affrontare un rischio elevato di violazioni da parte degli hacker, poiché un malintenzionato che accedesse al database del sito potrebbe esfiltrare le password degli utenti in formato testo normale.
Nel momento in cui scrivo, Statistiche di WordPress.org mostrano che circa un quarto degli utenti AIOS ha applicato l’aggiornamento alla 5.2.0, quindi più di 750.000 siti rimangono vulnerabili.
Sfortunatamente, poiché WordPress è un obiettivo comune per gli autori delle minacce, esiste la possibilità che alcuni dei siti che utilizzano AIOS siano già stati compromessi e, considerando che il problema circola online ormai da tre settimane, gli hacker hanno avuto molte opportunità di trarne vantaggio. la risposta lenta del creatore del plugin.
Inoltre, è un peccato che in nessun momento durante il periodo di esposizione Updraft abbia avvertito i propri utenti dell’elevato rischio di esposizione, consigliandoli sulle azioni da intraprendere.
I siti Web che utilizzano AIOS dovrebbero ora aggiornarsi alla versione più recente e chiedere agli utenti di reimpostare le proprie password.
I plug-in di WordPress consentono alle organizzazioni di estendere rapidamente le funzionalità dei propri siti Web senza richiedere alcuna codifica o competenze tecniche avanzate. Ma negli ultimi anni sono stati anche la principale fonte di rischio per i gestori di siti web.
L’esempio più recente è una vulnerabilità critica legata all’escalation dei privilegi in un plug-in utilizzato da oltre 1 milione di siti Web WordPress, chiamato Essential Addons for Elementor Plugin.La vulnerabilità, tracciata come CVE-2023-32243, colpisce le versioni dalla 5.4.0 alla 5.7.1 del plug-in e consente a un utente malintenzionato non autenticato di aumentare i privilegi a quelli di qualsiasi utente sul sito WordPress, incluso quello di un amministratore.
Difetto di escalation dei privilegi
I ricercatori di Patchstack hanno scoperto la vulnerabilità l’8 maggio e l’hanno comunicata a WPDeveloper, l’autore di Essential Addons for Elementor. WPDeveloper l’11 maggio ha rilasciato una nuova versione del software (versione 5.7.2) che risolve il bug. Il venditore ha descritto la nuova versione come dotata di un miglioramento della sicurezza nel modulo di accesso e registrazione per il software.
Secondo Patchstack, il bug ha a che fare con il codice di Essential Addons che reimposta le password senza verificare se le chiavi di reimpostazione della password associate sono presenti e legittime. Ciò offre a un utente malintenzionato non autenticato un modo per reimpostare la password di qualsiasi utente su un sito WordPress interessato e accedere al proprio account.
“Questa vulnerabilità si verifica perché [the] la funzione di reimpostazione della password non convalida una chiave di reimpostazione della password e modifica invece direttamente la password dell’utente specificato,” Patchstack ha detto in un post.
Il nuovo bug è una delle migliaia di vulnerabilità che i ricercatori hanno scoperto nei plug-in di WordPress negli ultimi anni.
Patchstack contava 4.528 nuove vulnerabilità nei plug-in di WordPress solo nel 2022, un sorprendente aumento del 328% rispetto ai 1.382 osservati nel 2021. I plug-in hanno rappresentato il 93% dei bug segnalati nell’ambiente WordPress nel 2022. Solo lo 0,6% dei bug confermati erano nel core piattaforma WordPress stessa. Circa il 14% dei bug era di gravità elevata o critica.
Una raffica incessante di difetti
Anche quest’anno la tendenza è continuata senza sosta. iThemes, una società che tiene traccia settimanalmente dei difetti dei plug-in di WordPress contato 160 vulnerabilità solo nel periodo di una settimana terminato il 26 aprile. I bug hanno colpito circa 8 milioni di siti Web WordPress e solo 68 di essi erano dotati di patch al momento della divulgazione della vulnerabilità.
Proprio la scorsa settimana, Patchstack ha segnalato un’altra vulnerabilità di escalation dei privilegi in un diverso plug-in di WordPress (Advanced Custom Fields Plugins) che ha interessato due milioni di siti web. La vulnerabilità ha offerto agli aggressori un modo sia per rubare dati sensibili dai siti interessati sia per aumentarne i privilegi.
Ad aprile, Sucuri ha riferito di una campagna denominata “Balada Injector”, in cui un autore di minacce, almeno negli ultimi cinque anni, è stato iniettando sistematicamente malware nei siti WordPress tramite plug-in vulnerabili. Il fornitore di sicurezza ha valutato che l’autore della minaccia dietro la campagna aveva infettato almeno un milione di siti WordPress con malware che reindirizzavano i visitatori del sito a siti di supporto tecnico falsi, siti di lotterie fraudolente e altri siti di truffa.
Sucuri ha scoperto che l’autore della minaccia utilizzava le vulnerabilità appena scoperte e, in alcuni casi, i bug zero-day per lanciare massicce ondate di attacchi contro i siti WordPress.
Gran parte dell’interesse degli aggressori per l’ecosistema WordPress ha a che fare con il suo utilizzo diffuso. Le stime sul numero esatto di siti WordPress in tutto il mondo variano ampiamente e alcuni fissano il numero verso l’alto 800 milioni. Il sito web di sondaggi tecnologici W3Techs, che alcuni considerano una fonte affidabile per le statistiche relative a WordPress, stima che alcuni Il 43% di tutti i siti web in tutto il mondo attualmente utilizzano WordPress.
Secondo Patchstack, il numero crescente di vulnerabilità segnalate nell’ecosistema WordPress non è necessariamente un segno che gli sviluppatori di plug-in stiano diventando più negligenti. Ciò che indica piuttosto è che i ricercatori di sicurezza stanno esaminando più attentamente.
“Ciò significa anche che l’ecosistema WordPress sta diventando più sicuro perché molti di questi bug di sicurezza vengono affrontati e corretti”, ha affermato Patchstack.
È stato scoperto che il plugin WordPress WPCode – Insert Headers and Footers + Custom Code Snippets, con oltre un milione di installazioni, presenta una vulnerabilità che potrebbe consentire all’aggressore di eliminare file sul server.
L’avviso della vulnerabilità è stato pubblicato nel National Vulnerability Database (NVD) del governo degli Stati Uniti.
Inserisci plugin intestazioni e piè di pagina
Il plugin WPCode (precedentemente noto come Insert Headers and Footers di WPBeginner), è un plugin popolare che consente agli editori di WordPress di aggiungere snippet di codice all’area dell’intestazione e del piè di pagina.
Ciò è utile per gli editori che devono aggiungere un codice di convalida del sito di Google Search Console, codice CSS, dati strutturati, persino codice AdSense, praticamente tutto ciò che appartiene all’intestazione o al piè di pagina di un sito web.
Vulnerabilità relativa alla falsificazione delle richieste tra siti (CSRF).
Il plug-in WPCode – Insert headers and Footers precedente alla versione 2.0.9 contiene ciò che è stato identificato come vulnerabilità Cross-Site Request Forgery (CSRF).
Un attacco CSRF si basa sull’inganno di un utente finale registrato sul sito WordPress a fare clic su un collegamento che esegue un’azione indesiderata.
L’aggressore sostanzialmente utilizza le credenziali dell’utente registrato per eseguire azioni sul sito su cui l’utente è registrato.
Quando un utente che ha effettuato l’accesso a WordPress fa clic su un collegamento contenente una richiesta dannosa, il sito è obbligato a eseguire la richiesta perché utilizza un browser con cookie che identifica correttamente l’utente come connesso.
L’aggressore conta sull’azione dannosa che l’utente registrato sta eseguendo inconsapevolmente.
L’organizzazione no-profit Open Worldwide Application Security Project (OWASP) descrive una vulnerabilità CSRF:
“Cross-Site Request Forgery (CSRF) è un attacco che costringe un utente finale a eseguire azioni indesiderate su un’applicazione web in cui è attualmente autenticato.
Con un piccolo aiuto di ingegneria sociale (come l’invio di un collegamento via e-mail o chat), un utente malintenzionato può ingannare gli utenti di un’applicazione Web inducendoli a eseguire le azioni scelte dall’utente malintenzionato.
Se la vittima è un utente normale, un attacco CSRF riuscito può costringere l’utente a eseguire richieste di modifica dello stato come il trasferimento di fondi, la modifica del proprio indirizzo e-mail e così via.
Se la vittima è un account amministrativo, CSRF può compromettere l’intera applicazione web.”
IL Enumerazione delle debolezze comuni (CWE), sponsorizzato dal Dipartimento per la Sicurezza Interna degli Stati Uniti, offre una definizione di questo tipo di CSRF:
“L’applicazione web non verifica, o non può, verificare in modo sufficiente se una richiesta ben formata, valida e coerente è stata intenzionalmente fornita dall’utente che ha inviato la richiesta.
…Quando un server web è progettato per ricevere una richiesta da un client senza alcun meccanismo per verificare che sia stata inviata intenzionalmente, allora potrebbe essere possibile per un utente malintenzionato ingannare un client facendogli fare una richiesta involontaria al server web che verrà trattata come richiesta autentica.
Ciò può essere fatto tramite un URL, caricamento di immagini, XMLHttpRequest, ecc. e può comportare l’esposizione di dati o l’esecuzione involontaria di codice.
In questo caso particolare le azioni indesiderate si limitano all’eliminazione dei file di registro.
Il National Vulnerability Database ha pubblicato i dettagli della vulnerabilità:
“Il plugin WordPress WPCode precedente alla 2.0.9 presenta un CSRF difettoso durante l’eliminazione del registro e non garantisce che il file da eliminare sia all’interno della cartella prevista.
Ciò potrebbe consentire agli aggressori di fare in modo che gli utenti con la funzionalità wpcode_activate_snippets eliminino file di registro arbitrari sul server, anche al di fuori delle cartelle del blog.
Il sito Web WPScan (di proprietà di Automattic) ha pubblicato una prova di concetto della vulnerabilità.
Una prova di concetto, in questo contesto, è il codice che verifica e dimostra che una vulnerabilità può funzionare.
"Make a logged in user with the wpcode_activate_snippets capability open the URL below
https://example.com/wp-admin/admin.php?page=wpcode-tools&view=logs&wpcode_action=delete_log&log=../../delete-me.log
This will make them delete the ~/wp-content/delete-me.log"
Seconda vulnerabilità per il 2023
Questa è la seconda vulnerabilità scoperta nel 2023 per il plugin WPCode Insert Headers and Footers.
Nel febbraio 2023 è stata scoperta un’altra vulnerabilità, che interessava le versioni 2.0.6 o precedenti, che la società di sicurezza Wordfence WordPress ha descritto come una vulnerabilità “Autorizzazione mancante alla divulgazione/aggiornamento di chiavi sensibili.”
Secondo il rapporto sulla vulnerabilità NVD, la vulnerabilità ha colpito anche le versioni fino alla 2.0.7.
“Il plugin WordPress WPCode precedente alla 2.0.7 non dispone di adeguati controlli dei privilegi per diverse azioni AJAX, ma controlla solo il nonce.
Ciò potrebbe portare a consentire a qualsiasi utente autenticato che può modificare i post di chiamare gli endpoint relativi all’autenticazione della libreria WPCode (come aggiornare ed eliminare la chiave di autenticazione).”
WPCode ha rilasciato una patch di sicurezza
Il registro delle modifiche per il plug-in WordPress WPCode – Inserisci intestazioni e piè di pagina rileva responsabilmente che è stato risolto un problema di sicurezza.
“Correzione: rafforzamento della sicurezza per l’eliminazione dei registri.”
La notazione del log delle modifiche è importante perché avvisa gli utenti del plugin del contenuto dell’aggiornamento e consente loro di prendere una decisione informata se procedere con l’aggiornamento o attendere quello successivo.
WPCode ha agito in modo responsabile rispondendo tempestivamente alla scoperta della vulnerabilità e annotando anche la correzione di sicurezza nel registro delle modifiche.
Azioni consigliate
Si consiglia agli utenti del plug-in WPCode – Inserisci intestazioni e piè di pagina di aggiornare il proprio plug-in almeno alla versione 2.0.9.
La versione più aggiornata del plugin è la 2.0.10.
Leggi informazioni sulla vulnerabilità sul sito web di NVD:
Se utilizzi WordPress, devi prendere in considerazione uno o più di questi plugin di sicurezza per proteggere il tuo sito web dagli attacchi.
Immagine: Tierney/Adobe Stock
WordPress è uno dei sistemi di gestione dei contenuti più utilizzati al mondo. Con oltre il 43% dei siti web che utilizzano la piattaforma, non sorprende che abbia un obiettivo alle calcagna. Ciò non solo significa che gli sviluppatori di WordPress devono lavorare sempre duramente per proteggere il proprio software, ma richiede anche che coloro che distribuiscono i siti siano diligenti riguardo alla sicurezza.
Anche se WordPress è in qualche modo sicuro, non può prevenire da solo i malintenzionati. A tal fine, ogni amministratore deve prendere in considerazione l’aggiunta di plug-in di terze parti per rafforzare la sicurezza.
Fortunatamente, ci sono molti plugin relativi alla sicurezza disponibili per WordPress. Ma poiché ce ne sono così tanti, quali dovresti usare? Ho messo insieme i primi cinque plugin che utilizzo sempre per ogni sito WordPress (solo uno dei quali è installato per impostazione predefinita). Diamo un’occhiata a questi cinque plugin per vedere se saranno adatti alle tue esigenze.
Jetpack
Immagine: Jetpack
Jetpack è un plugin di sicurezza tutto in uno per WordPress sviluppato e gestito dalle stesse persone che hanno creato WordPress e WooCommerce. Ciò significa che non solo integra e protegge i tuoi siti WordPress, ma anche i tuoi negozi WooCommerce. Jetpack fa un ottimo lavoro tenendoti al passo con le misure di sicurezza, anti-spam, backup e protezione, monitoraggio dei tempi di inattività, blocco della forza bruta e protezione dell’accesso.
Jetpack può scansionare il tuo sito per rilevare modifiche ai file principali di WordPress, shell basate sul Web e vulnerabilità di TimThumb (che consentono agli hacker di caricare ed eseguire codice PHP arbitrario nella directory della cache di timthumb).
Jetpack offre piani gratuiti e a pagamento. Per i singoli utenti sarà sufficiente il piano gratuito. Per gli utenti aziendali, uno dei piani a pagamento dovrebbe essere considerato un must. Esistono tre piani a pagamento, tra cui Backup ($ 4,92 al mese) che offre backup su cloud in tempo reale; Sicurezza ($ 12,42/mese) che aggiunge tutte le funzionalità di backup, scansione malware in tempo reale e protezione dallo spam nei commenti/moduli; e Complete ($49,92/mese) che aggiunge VideoPress, ricerca nel sito fino a 100.000 record e CRM Entrepreneur.
Ferma gli spammer
Immagine: Stop agli spammer
Ferma gli spammer è uno dei migliori strumenti per bloccare lo spam di WordPress. Ciò è particolarmente vero se hai abilitato i commenti per post, pagine e prodotti. Senza Stop Spammers, troverai le sezioni dei tuoi commenti inondate di spam. Con Stop Spammers ottieni un dashboard facile da usare, whitelist di indirizzi IP, blocklist, reCAPTCHA, approvazioni di richieste, connessione a StopFormSpam.com, visualizzazione della cache, report di registro, controlli dell’elenco DNSBL, ricerche e diagnostica di Stop Spam nei forum.
L’unico avvertimento sull’utilizzo di Stop Spammers è che non è possibile utilizzarlo insieme a Jetpack. Quindi, se ritieni che Jetpack includa alcune funzionalità indispensabili, scegli Jetpack, altrimenti lo è Stop Spammers IL plugin da utilizzare per impedire agli spammer di fare quello che fanno.
Sicurezza di Wordfence
Immagine: Wordfence
Sicurezza di Wordfence è un altro must per chiunque voglia proteggere le proprie distribuzioni di WordPress. Questo plug-in include un firewall, scansione dei problemi di sicurezza (configurazioni di scansione, file di quarantena, file principali, file di temi, file di plug-in e altro), protezione da malware, controlli della reputazione, opzioni di prestazioni (come scansione di risorse scarse), esclusione di file dalle scansioni, accesso sicurezza (incluso 2FA), scansioni del traffico in tempo reale, blocco IP, WhoisLookup e altro ancora. Wordfence Security dovrebbe essere uno dei primi plugin che aggiungi ai tuoi siti. E se stai cercando un solo plugin per fare tutto, è proprio questo.
È disponibile un piano gratuito e tre piani a pagamento (Premium per $ 99/anno, Wordfence Care per $ 490/anno e Wordfence Response per $ 950/anno). Se sei un privato, scegli il piano gratuito o premium. Se la tua attività dipende da WordPress, prendi in considerazione il piano Care o Response. Utilizzo il piano gratuito da anni e mi è servito molto bene.
WP2FA
Immagine: WP 2FA
Autenticazione a due fattori non dovrebbe più essere considerata un’opzione. E sebbene molti plugin di sicurezza aggiungano 2FA al mix, ho sempre trovato WP 2FA l’opzione migliore per la sicurezza dell’accesso. WP 2FA non solo funziona esattamente come previsto, ma quando tenti di accedere al tuo sito WordPress, invia immediatamente il codice di accesso al tuo indirizzo email associato. Ho trovato altri plugin simili che impiegano un po’ troppo tempo per inviare quei codici.
Con WP 2FA puoi applicare la 2FA a tutti gli utenti, utenti specifici o utenti/ruoli specifici. Sebbene WP 2FA sia piuttosto semplice (non offre molti fronzoli), quello che fa lo fa molto bene.
Anche se non hai utenti sul tuo sito, hai comunque un amministratore che deve accedere e a quell’account dovrebbe sicuramente essere richiesto di utilizzare l’autenticazione a 2 fattori. WP 2FA offre un account gratuito e un piano Premium, che aggiunge dispositivi affidabili, etichettatura bianca e policy per i ruoli utente.
SSL davvero semplice
Immagine: SSL davvero semplice
Se vuoi che il tuo sito utilizzi SSL, il modo più semplice per farlo è con il file SSL davvero semplice collegare. Questo plugin forza semplicemente i siti WordPress a utilizzare SSL, in modo che gli utenti possano accedere a HTTPS anziché HTTP. Mi sono imbattuto in diverse occasioni in cui un servizio di hosting utilizza certificati SSL, ma una distribuzione WordPress non li rispetta e visualizza il sito come non sicuro. Al giorno d’oggi, assicurarsi che gli utenti sappiano che sono sicuri sul tuo sito è una caratteristica importante da non trascurare. È allora che mi rivolgo a Really Simple SSL.
Questo plugin fa un ottimo lavoro nel rilevare automaticamente le tue impostazioni e configura il tuo sito per l’esecuzione su HTTPS. In teoria, tutto ciò che dovresti fare è installare e abilitare il plugin e tutto dovrebbe funzionare. Ho scoperto che è così. L’unico avvertimento sull’utilizzo di Really Simply SSL è che i certificati SSL devono essere abilitati per il tuo sito, poiché il plug-in non crea o installa certificati per te. Ma se hai già abilitato i certificati SSL sul tuo sito e WordPress non li rispetta, questo è il modo più semplice per risolvere il problema.
Gli utenti del plugin Advanced Custom Fields per WordPress sono invitati ad aggiornare la versione 6.1.6 in seguito alla scoperta di una falla di sicurezza.
Il problema, a cui è stato assegnato l’identificatore CVE-2023-30777, si riferisce a un caso di cross-site scripting (XSS) riflesso che potrebbe essere utilizzato in modo improprio per iniettare script eseguibili arbitrari in siti Web altrimenti innocui.
Il plugin, disponibile sia in versione gratuita che pro, è terminato due milioni di installazioni attive. Il problema è stato scoperto e segnalato ai manutentori il 2 maggio 2023.
“Questa vulnerabilità consente a qualsiasi utente non autenticato di rubare informazioni sensibili e, in questo caso, di privilegiare l’escalation sul sito WordPress inducendo un utente privilegiato a visitare il percorso URL creato,” ha spiegato Rafie Muhammad, ricercatore di Patchstack. disse.
XSS riflesso Gli attacchi di solito si verificano quando le vittime vengono indotte con l’inganno a fare clic su un collegamento fasullo inviato via e-mail o tramite un altro percorso, provocando l’invio del codice dannoso al sito Web vulnerabile, che riflette l’attacco al browser dell’utente.
Questo elemento di ingegneria sociale fa sì che l’XSS riflesso non abbia la stessa portata e portata degli attacchi XSS archiviati, spingendo gli autori delle minacce a distribuire il collegamento dannoso al maggior numero possibile di vittime.
“[A reflected XSS attack] è tipicamente il risultato di richieste in arrivo non sufficientemente disinfettate, il che consente la manipolazione delle funzioni di un’applicazione web e l’attivazione di script dannosi,” Imperva Appunti.
Vale la pena notare che CVE-2023-30777 può essere attivato su un’installazione o configurazione predefinita di Campi personalizzati avanzati, sebbene sia possibile farlo anche da utenti registrati che hanno accesso al plug-in.
Lo sviluppo avviene quando Craft CMS ha corretto due difetti XSS di media gravità (CVE-2023-30177 E CVE-2023-31144) che potrebbe essere sfruttato da un autore di minacce per fornire payload dannosi.
Ne consegue inoltre la divulgazione di un’altra falla XSS nel prodotto cPanel (CVE-2023-29489Punteggio CVSS: 6.1) che potrebbe essere sfruttato senza alcuna autenticazione per eseguire JavaScript arbitrario.
“Un utente malintenzionato non può solo attaccare le porte di gestione di cPanel ma anche le applicazioni in esecuzione sulle porte 80 e 443”, Shubham Shah di Assetnote disseaggiungerlo potrebbe consentire a un avversario di dirottare la sessione cPanel di un utente valido.
“Una volta che si agisce per conto di un utente autenticato di cPanel, di solito è banale caricare una shell web e ottenere l’esecuzione del comando.”
CVE-2023-30777 è sottoposto a sfruttamento attivo
Gli autori delle minacce stanno sfruttando attivamente la falla di cross-site scripting (XSS) nel plugin Advanced Custom Fields di WordPress come parte di un’attività di scansione indiscriminata, ha affermato la società di sicurezza web Akamai divulgato in un rapporto pubblicato la settimana scorsa.
Gli attacchi sono iniziati “entro 24 ore dalla resa pubblica del PoC dell’exploit”, ha osservato la società, aggiungendo che l’autore della minaccia ha copiato e riutilizzato il codice di esempio rilasciato da Patchstack all’inizio di questo mese.
“Il tasso di sfruttamento delle vulnerabilità emergenti e recentemente rivelate rimane elevato e sta diventando più rapido”, ha affermato Ryan Barnett di Akamai. “La gestione delle patch è una parte fondamentale della strategia di sicurezza e riduzione dei rischi di un’organizzazione.”
Hai trovato interessante questo articolo? Seguici su Twitter E LinkedIn per leggere i contenuti più esclusivi che pubblichiamo.
22 dicembre 2023Sala stampaScrematura/Sicurezza web
I cacciatori di minacce hanno scoperto un plugin WordPress non autorizzato in grado di creare utenti amministratori fasulli e di iniettare codice JavaScript dannoso per rubare i dati delle carte di credito.
L’attività di scrematura fa parte di a Campagna Magecart prendendo di mira i siti di e-commerce, secondo Sucuri.
“Come molti altri plugin WordPress dannosi o falsi, contiene alcune informazioni ingannevoli nella parte superiore del file per dargli una patina di legittimità,” il ricercatore di sicurezza Ben Martin disse. “In questo caso, i commenti affermano che il codice è ‘Componenti aggiuntivi WordPress Cache.’”
Dopo l’installazione, il plugin si replica nel file mu-plugin (o plugin indispensabili) in modo che venga automaticamente abilitato e nasconda la sua presenza dal pannello di amministrazione.
“Poiché l’unico modo per rimuovere uno qualsiasi dei mu-plugin è rimuovere manualmente il file, il malware fa di tutto per impedirlo,” ha spiegato Martin. “Il malware ottiene questo risultato annullando la registrazione delle funzioni di callback per gli hook utilizzati normalmente da plugin come questo.”
Il plug-in fraudolento include anche un’opzione F per creare e nascondere un account utente amministratore all’amministratore legittimo del sito Web per evitare di sollevare segnali d’allarme e avere un accesso prolungato all’obiettivo per periodi di tempo prolungati.
L’obiettivo finale della campagna è iniettare malware per il furto di carte di credito nelle pagine di pagamento ed esfiltrare le informazioni in un dominio controllato da attori.
“Poiché molte infezioni di WordPress si verificano da parte di utenti amministratori wp-admin compromessi, è ovvio che abbiano dovuto lavorare entro i limiti dei livelli di accesso di cui dispongono, e l’installazione di plugin è sicuramente una delle abilità chiave che gli amministratori di WordPress possiedono “, ha detto Martino.
La divulgazione arriva settimane dopo la comunità di sicurezza di WordPress avvertito di una campagna di phishing che avvisa gli utenti di una falla di sicurezza non correlata nel sistema di gestione dei contenuti web e li induce con l’inganno a installare un plugin sotto le mentite spoglie di una patch. Il plugin, da parte sua, crea un utente amministratore e distribuisce una shell web per l’accesso remoto persistente.
Sucuri ha affermato che gli autori delle minacce dietro la campagna stanno sfruttando il “RISERVATO” stato associato a un identificatore CVE, che si verifica quando è stato riservato per l’uso da parte di un’autorità di numerazione CVE (CNA) o di un ricercatore di sicurezza, ma i dettagli devono ancora essere riempiti.
Viene anche come società di sicurezza del sito web scoperto un’altra campagna Magecart che utilizza il protocollo di comunicazione WebSocket per inserire il file codice dello schiumatoio sulle vetrine online. Il malware viene quindi attivato facendo clic su un falso pulsante “Completa ordine” sovrapposto al pulsante di pagamento legittimo.
Il rapporto di Europol sulle frodi online pubblicato questa settimana descrive lo skimming digitale come una minaccia persistente che provoca il furto, la rivendita e l’uso improprio dei dati delle carte di credito. “Un’importante evoluzione nello skimming digitale è il passaggio dall’uso di malware front-end a malware back-end, rendendolo più difficile da rilevare”, si legge disse.
L’agenzia di contrasto dell’UE disse ha inoltre informato 443 commercianti online che i dati delle carte di credito o di pagamento dei loro clienti erano stati compromessi tramite attacchi di skimming.
Group-IB, che ha anche collaborato con Europol nell’operazione di lotta alla criminalità informatica transfrontaliera nome in codice Digital Skimming Action, ha affermato di aver rilevato e identificato 23 famiglie di JS-sniffer, tra cui ATMZOW, Health_check, FirstKiss, FakeGA, AngryBeaver, Inter e R3nin, che sono stati utilizzati contro aziende in 17 paesi diversi in Europa e nelle Americhe.
“In totale, alla fine del 2023, sono note 132 famiglie di JS-sniffer che hanno compromesso siti web in tutto il mondo,” ha affermato l’azienda con sede a Singapore. aggiunto.
Non è tutto. È stato scoperto che annunci fasulli su Ricerca Google e Twitter per piattaforme di criptovaluta promuovono un drenatore di criptovaluta denominato MS Drainer che si stima abbia già saccheggiato 58,98 milioni di dollari da 63.210 vittime da marzo 2023 attraverso una rete di 10.072 siti Web di phishing.
“Prendendo di mira un pubblico specifico attraverso i termini di ricerca di Google e la seguente base di X, è possibile selezionare obiettivi specifici e lanciare continue campagne di phishing a un costo molto basso,” ScamSniffer disse.
Hai trovato interessante questo articolo? Seguici su Twitter E LinkedIn per leggere i contenuti più esclusivi che pubblichiamo.
