Aggiornamenti recenti Maggio 7th, 2024 2:00 PM
Nov 12, 2018 Marco Schiaffino Attacchi, News, RSS, Vulnerabilità 0
Paradossi nel mondo della sicurezza: installi un plugin che dovrebbe rendere più sicuro il tuo sito e invece ti ritrovi sotto attacco da parte di un gruppo di hacker.
La vicenda, segnalata attraverso numerosi report sui forum ufficiali di WordPress, ha coinvolto un plugin che negli ultimi mesi è diventato piuttosto popolare. Stiamo parlando di WP GDPR Compliance, un componente aggiuntivo che, almeno in teoria, dovrebbe aiutare gli amministratori di siti Internet a rispettare le regole del nuovo regolamento europeo sulla protezione dei dati.
Il plugin, però, ha alcune falle di sicurezze che consentono di modificare le impostazioni del sito in remoto e, di conseguenza, prenderne il controllo.
Come spiega WordFence in un report, le due vulnerabilità più sfruttate dai pirati consentono, in pratica, di creare un account di amministrazione o di installare una backdoor sui siti in cui è presente il plugin.
Il plugin, in un primo momento, è stato rimosso dalle pagine ufficiali di WordPress e in seguito ripristinato quando gli sviluppatori hanno rilasciato la versione aggiornata (1.4.3) che corregge i bug di cui sopra.
Il problema è che ci sono ancora numerosi siti che utilizzano la versione vulnerabile del plugin e i tempi necessari per il “ricambio”, come accade spesso nel caso di WordPress, sono tutt’altro che certi.
Anche perché non stiamo parlando di un componente aggiuntivo che ha funzionalità “pratiche”, ma di un plugin che molto probabilmente ha avuto una grande visibilità lo scorso maggio a cavallo dell’entrata in vigore del GDPR e che è stato installato da un gran numero di amministratori che difficilmente ne verificheranno la versione periodicamente.
Apr 22, 2024 0
Mar 07, 2024 0
Gen 26, 2024 0
Ott 12, 2023 0
Mag 07, 2024 0
Mag 07, 2024 0
Mag 06, 2024 0
Mag 06, 2024 0
Mag 06, 2024 0
Gli scanner di vulnerabilità, ovvero i software usati per...Mag 03, 2024 0
Sempre più spesso si discute delle crescenti capacità...Apr 29, 2024 0
Lo United States Postal Service (USPS), l’agenzia...Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 18, 2024 0
La corsa all’IA generativa ha spinto i produttori di...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Mag 07, 2024 0
A fine aprile i ricercatori di Kandji, piattaforma perMag 07, 2024 0
Gli attacchi di phishing non si fermano e i marchi...Mag 06, 2024 0
Questa settimana, il CERT-AGID ha identificato e analizzato...Mag 06, 2024 0
Gli scanner di vulnerabilità, ovvero i software usati per...Mag 06, 2024 0
Il Governo Federale della Germania, con il supporto della...