Archivio Tag: Vulnerabilità

Scelta del tema per WordPress e ripercussioni sulla sicurezza.

Temi WordPress pericolosi come evitarli

A costo di sembrare noioso, torno sull’importanza della scelta di un tema per WordPress, e su come questo fattore possa essere determinante sul livello di sicurezza di un sito.

Ecco – dirai tu – mo’ questo ci attacca il solito pippone sugli aggiornamenti…

No, non ti voglio tediare con il solito pippone questa volta, tanto l’ho capita che gli aggiornamenti o li fai a modino o non li fai proprio, e dopo tocca a quelli come me rimediare quando il sito smette di funzionare, o te lo bucano.

Questa volta vorrei provare a metterti di fronte ad un caso reale riguardante la scelta del tema, un vero problema di sicurezza, scoperto di recente e che riguarda quattro temi venduti in migliaia di copie.

La storia: quattro temi premium per WordPress pericolosi, ancora in vendita.

La notizia è della settimana scorsa, una vulnerabilità grave del tipo “Privileges Escalation” è stata individuata in quattro temi premium venduti sul solito Themeforest.

Magari è un tema che stai usando, o che hai usato per qualche tuo cliente. Continua a Leggere →

È successo un gran casino…

Numerosi plugin WordPress vulnarebili per XSS (Cross-Site Scripting)

Potrebbe andar peggio, potrebbe piovere!

Nelle ultime ore è nato un caso, che ti riassumo per farla breve: come riportano numerosi siti, a quanto pare un numero imprecisato di plugin per WordPress, ma sarebbero davvero tantissimi, contengono una vulnerabilità di tipo XSS a causa di indicazioni errate nelle pagine del codex di WordPress, che di fatto è la bibbia degli sviluppatori su questa piattaforma.

I plugin coinvolti sono tanti e riguardano pure i più noti e utilizzati, come Jetpack (tutto dire, visto che sviluppato dalla stessa azienda di WordPress), WordPress SEO Google Analytics by Yoast, All in One SEO, Gravity Forms, WPtouch, UpdraftPlus, WP-E-Commerce, P3 Profile, Broken Link Checker e numerosi altri.

Molti sono già corsi al riparo rilasciando tempestivamente un aggiornamento risolutore.

È il caso di Jetpack, WordPress SEO, All in One SEO e diversi altri, ed è prevedibile che nelle prossime ore sarà tutto un rilascio di aggiornamenti anche per gli altri.

E ora, che bisogna fare? Continua a Leggere →

Chi ha paura del lupo cattivo?

Vulnerabilità WordPress - Chi ha paura del lupo cattivo?

Di tanto in tanto qualcuno mi dice che sono fissato con le vulnerabilità, che la faccio più grande di quello che è in realtà.

Probabilmente è vero, succede che qualche bug o vulnerabilità mi preoccupi più del solito, e per questo magari può sembrare che agiti lo spauracchio della vulnerabilità di turno, ma è anche vero che vengo contattato spesso da chi viene danneggiato, per davvero, da qualche malware o plugin che funziona male.

Problemi che il malcapitato di turno si sarebbe potuto evitare, con un minimo di attenzioni in più, anche solo leggendo i commenti che inevitabilmente accompagnano ogni nuovo rilascio.

Se nel mio piccolo riesco ad avvisare qualcuno per tempo, evitandogli dei problemi, per quel che mi riguarda è già un successo.

Ma chi ha paura delle vulnerabilità?

Certo chi ci è già cascato, una volta scottati sono cose che non si scordano facilmente, specie se ti hanno fatto dei danni seri.

In generale, però, la risposta generale è

Perché dovrebbe capitare proprio a me?

In effetti, con tanti siti che ci sono in rete, perché proprio il mio?

La domanda è più che lecita. Continua a Leggere →

Backup vince sempre

Sei sicuro del tuo backup su WordPress?

Le festività prolungate, di solito, segnano un’inevitabile rallentamento delle attività produttive.

Sul web, questo si traduce in minori attenzioni verso i siti. Hacker e malintenzionati di varia natura lo sanno bene, e non è un caso se i tentativi di violazione dei siti durante questi periodi aumentano.

Nessuno dei miei clienti è stato “bucato” in questo periodo, e per quanto possa essere una casualità ne vado modestamente fiero, ma sono stato comunque interpellato per recuperare 7 installazioni WordPress che invece non hanno avuto la stessa fortuna.

Su sette casi, quattro riguardavano direttamente il malware di Revolution Slider: vecchie versioni del plugin che risultavano compromesse, nonostante in alcuni casi tutto il resto fosse regolarmente aggiornato, che hanno causato l’oscuramento dei siti da parte dei DNS di Google. Continua a Leggere →

Seria vulnerabilità per WP eCommerce

I principali siti dedicati alla sicurezza su WordPress stanno avvisando di una vulnerabilità riguardante Wp eCommerce di GetShopped (da non confondersi con WooCommerce), uno dei plugin più utilizzati per creare e-commerce in WordPress.

Il pericolo riguarda chi utilizza WP eCommerce versione 3.8.14.3 o precedenti, la vulnerabilità permette di accedere alle informazioni del sistema, modificarle o prelevarle, compresi eventuali dati di clienti, ordini e pagamenti.
Un malintenzionato potrebbe anche prendere il totale controllo del sistema e farne ciò che vuole.

La vulnerabilità è stata velocemente risolta dal team di sviluppo con la nuova versione 3.8.14.4.

Se utilizzi WP eCommerce è bene che ti assicuri di avere l’ultima versione, in caso aggiornato aggiorna prima possibile.

Ciao, come posso aiutarti?
Powered by