Home News Problema sicurezza, WordPress SEO by Yoast vulnerabile
Problema sicurezza, WordPress SEO by Yoast vulnerabile PDF Stampa E-mail
Martedì 17 Marzo 2015 11:00

Problema sicurezza, WordPress SEO by Yoast vulnerabile

Le oltre 14 milioni di installazioni di WordPress SEO by Yoast, il noto plugin per migliorare l’approccio SEO dei contenuti su WordPress, sono a rischio sicurezza. Le versioni precedenti alla 1.7.3.3, infatti, sarebbero vulnerabili ad attacchi di tipo SQL injection e, per questo motivo, devono essere subito aggiornate all’ultima release disponibile.

A confermare la falla sono gli sviluppatori dello scanner WordPress WPScan, Ryan Dewhurst e Christian Mehlmauer, che in un advisory pubblicato mercoledì scorso indica la tipologia di bug di cui sono affette tutte le versioni di WordPress SEO by Yoast e i rischi conseguenti.

Secondo i ricercatori, infatti, la falla sarebbe in grado di dare un accesso remoto ai malintenzionati, eseguendo query pericolose e mettendo a nudo dati che dovrebbero rimanere protetti per questioni di privacy.

Il plugin è installato su circa un quinto delle oltre 60 milioni di installazioni di WordPress e, secondo uno studio pubblicato da CodeGuard, la maggioranza di questi CMS non è dotata di un plugin di backup che ne consenta l’immediato ripristino in caso di necessità.

Per fortuna, questo exploit può essere utilizzato solo da un account utente autorizzato come quello di un amministratore, di un editor o di un autore. È noto, però, che alcuni accessi sono facilmente ottenibili attraverso tecniche di ingegneria sociale e attacchi di phishing in soli 30 minuti di attività malevola, come è accaduto anche al portale Rogers.

I dettagli del bug che affligge WordPress SEO by Yoast

Secondo gli sviluppatori di WPScan, WordPress SEO by Yoast sarebbe affetto da tue tipologie di vulnerabilità SQL e il file interessato sarebbe il class-bulk-editor-list-table.php.

Il programmatore olandese Joost de Valk e il suo team si sono subito messi al lavoro per ovviare all’incresciosa situazione e mantenere in tranquillità tutti gli utenti e da questo sforzo è nata la versione 1.7.4 che, a quanto pare, non sarebbe affetta dalle due vulnerabilità SQL individuate nelle versioni precedenti.

“Abbiamo risolto un problema CSRF che permetteva un attacco di tipo SQL injection. Ecco la spiegazione in una sola frase per i meno tecnici. Avendo un autore, un admin o un editor già autenticati che visitano un URL malformato, un hacker malintenzionato potrebbe accedere e modificare il database WordPress. Anche se questo bug non consente un hacking di massa sulle installazioni affette, permette comunque di rivolgere attacchi diretti a specifici siti Web”, ha spiegato l’amministratore delegato di WordPress SEO by Yoast in un post di blog ufficiale. “Questo è un problema serio ed è il motivo per cui ci siamo subito messi al lavoro per risolvere il problema quando ci è stato notificato. Perché non lo abbiamo individuato noi prima? Beh … Lunga storia. Il bug doveva essere confermato in uno dei nostri regolari controlli di sicurezza, ma non è andata così. Non vogliamo addurre scuse e quanto è accaduto è una buona lezione per tutti.”.

In casi come questi, il consiglio è di aggiornare immediatamente il plugin WordPress SEO by Yoast all’ultima versione disponibile o di affidarsi a servizi di hosting gestiti, che eseguono in automatico per l’utenza gli upgrade di sicurezza necessaria. Altra alternativa è l’autoaggiornamento di WordPress, sempre che non sia stato disabilitato.

 

Tutorial

Vuoi approfondire degli argomenti specifici? Segui i miei tutorial, per dubbi o domande contattami.

Vai ai tutorial

Flickr

Guarda le mie foto su Flickr. Hai bisogno di foto particolari? Vuoi imparare a fotografare? Contattami
flickr_logo

Servizi Online

Vuoi predisporre il tuo sito web personalizzato? Hai bisogno di aiuto o consulenza?

Acquista i servizi online

Contattami

Per approfondimenti o informazioni su corsi di formazione o lavori contattami.

Richiedi uno scambio link con il mio sito.