Archivio Tag: Vulnerabilità

Non dire che non te l’avevo detto… (che aggiornamenti e manutenzione sono importanti)

Aggiornamenti e manutenzione per la sicurezza di WordPress

WordPress 4.7.2 risolve un grave problema di sicurezza, e altri un po’ meno gravi ma pur sempre importanti, Sucuri lo spiega molto bene, seppur in inglese.

Poi c’è l’uso scriteriato di temi e plugin per nulla affidabili, poco testati, o che non vengono più aggiornati da anni.

Aggiungici pure hosting economici, ed installazioni effettuate senza nessuna attenzione alla sicurezza, ed il quadro è (quasi) completo.

Siti aziendali, realizzati da professionisti del settore come dai cugini di turno, abbandonati a se stessi una volta messi on line.

Manutenzione?

Ma quando mai, almeno finché il sito non te lo bucano, o quando l’e-commerce smette di funzionare. Continua a Leggere →

Rilasciato WordPress 4.2.3 (ma vale anche per le versioni precedenti)

È stata rilasciata la nuova versione di mantenimento per WordPress 4.2.3 che corregge tanti bug ma anche una grave vulnerabilità di tipo XSS, definita critica dallo stesso staff di sviluppo.

La vulnerabilità riguarda anche le versioni precedenti di WordPress, per questo motivo sono state rilasciate anche le versioni 4.1.6, 4.0.6, 3.9.7, 3.8.9 e 3.7.9, tutte scaricabili dall’archivio delle versioni di WordPress.

Se hai lasciato attivo l’aggiornamento automatico, almeno per le versioni di mantenimento, dovresti ritrovarti WordPress aggiornato già ora o al massimo entro breve.

Se invece preferisci aggiornare il tuo sistema con maggiore sicurezza, troverai l’aggiornamento alla versione 4.2.3 direttamente segnalato in bacheca, mentre per le precedenti dovrai procedere con un aggiornamento manuale di WordPress.

Come al solito in caso di qualsiasi aggiornamento, procedi con cautela ed effettua sempre un backup completo prima di procedere!

Scelta del tema per WordPress e ripercussioni sulla sicurezza.

Temi WordPress pericolosi come evitarli

A costo di sembrare noioso, torno sull’importanza della scelta di un tema per WordPress, e su come questo fattore possa essere determinante sul livello di sicurezza di un sito.

Ecco – dirai tu – mo’ questo ci attacca il solito pippone sugli aggiornamenti…

No, non ti voglio tediare con il solito pippone questa volta, tanto l’ho capita che gli aggiornamenti o li fai a modino o non li fai proprio, e dopo tocca a quelli come me rimediare quando il sito smette di funzionare, o te lo bucano.

Questa volta vorrei provare a metterti di fronte ad un caso reale riguardante la scelta del tema, un vero problema di sicurezza, scoperto di recente e che riguarda quattro temi venduti in migliaia di copie.

La storia: quattro temi premium per WordPress pericolosi, ancora in vendita.

La notizia è della settimana scorsa, una vulnerabilità grave del tipo “Privileges Escalation” è stata individuata in quattro temi premium venduti sul solito Themeforest.

Magari è un tema che stai usando, o che hai usato per qualche tuo cliente. Continua a Leggere →

È successo un gran casino…

Numerosi plugin WordPress vulnarebili per XSS (Cross-Site Scripting)

Potrebbe andar peggio, potrebbe piovere!

Nelle ultime ore è nato un caso, che ti riassumo per farla breve: come riportano numerosi siti, a quanto pare un numero imprecisato di plugin per WordPress, ma sarebbero davvero tantissimi, contengono una vulnerabilità di tipo XSS a causa di indicazioni errate nelle pagine del codex di WordPress, che di fatto è la bibbia degli sviluppatori su questa piattaforma.

I plugin coinvolti sono tanti e riguardano pure i più noti e utilizzati, come Jetpack (tutto dire, visto che sviluppato dalla stessa azienda di WordPress), WordPress SEO Google Analytics by Yoast, All in One SEO, Gravity Forms, WPtouch, UpdraftPlus, WP-E-Commerce, P3 Profile, Broken Link Checker e numerosi altri.

Molti sono già corsi al riparo rilasciando tempestivamente un aggiornamento risolutore.

È il caso di Jetpack, WordPress SEO, All in One SEO e diversi altri, ed è prevedibile che nelle prossime ore sarà tutto un rilascio di aggiornamenti anche per gli altri.

E ora, che bisogna fare? Continua a Leggere →

Chi ha paura del lupo cattivo?

Vulnerabilità WordPress - Chi ha paura del lupo cattivo?

Di tanto in tanto qualcuno mi dice che sono fissato con le vulnerabilità, che la faccio più grande di quello che è in realtà.

Probabilmente è vero, succede che qualche bug o vulnerabilità mi preoccupi più del solito, e per questo magari può sembrare che agiti lo spauracchio della vulnerabilità di turno, ma è anche vero che vengo contattato spesso da chi viene danneggiato, per davvero, da qualche malware o plugin che funziona male.

Problemi che il malcapitato di turno si sarebbe potuto evitare, con un minimo di attenzioni in più, anche solo leggendo i commenti che inevitabilmente accompagnano ogni nuovo rilascio.

Se nel mio piccolo riesco ad avvisare qualcuno per tempo, evitandogli dei problemi, per quel che mi riguarda è già un successo.

Ma chi ha paura delle vulnerabilità?

Certo chi ci è già cascato, una volta scottati sono cose che non si scordano facilmente, specie se ti hanno fatto dei danni seri.

In generale, però, la risposta generale è

Perché dovrebbe capitare proprio a me?

In effetti, con tanti siti che ci sono in rete, perché proprio il mio?

La domanda è più che lecita. Continua a Leggere →

I love Instagram