Home News WordPress, scoperta grave falla nel plugin WP-Slimstat
WordPress, scoperta grave falla nel plugin WP-Slimstat PDF Stampa E-mail
Martedì 03 Marzo 2015 15:20

WordPress è uno dei CMS (content management system) più apprezzati e diffusi, non sorprende quindi che sia uno degli obiettivi preferiti degli hacker e malintenzionati di turno. Il vasto archivio di plugin messo a disposizione dal sito WordPress.com è il punto di partenza ideale per l’individuazione di nuove vulnerabilità da sfruttare a loro vantaggio.

L’ultima falla che riteniamo sia giusto segnalare, perchè riguardante una popolare estensione scaricata circa 1 milione e 300 mila volte, è quella che affligge le versioni precedenti alla 3.9.6 del plugin WP-Slimstat, popolare “tool analytics” che fornisce utili informazioni ai gestori di un sito, dalla panoramica del traffico in entrata fino al log delle attività utenti e non solo.

La falla è stata scoperta da un ricercatore dell’ormai “familiare” Sucuri, azienda che opera nel campo della sicurezza informatica: come forse ricorderete erano sempre stati collaboratori o ricercatori Sucuri ad individuare altre vulnerabilità non trascurabili nei plugin “FancyBox” e “Slider Revolution Responsive”.

Nel caso di WP-Slimstat il problema risiede nella “debole” chiave di cifratura adoperata dal plugin (relativa al timestamp dell’installazione). Quest’ultima può essere “indovinata” molto rapidamente da un esperto  (circa 10 minuti per 30 milioni di combinazioni da testare) attraverso un classico “brute force attack” – metodo che appoggiandosi ad un algoritmo cerca di inserire tutte le combinazioni possibili per trovare eventualmente quella giusta.

A questo punto il sito può essere soggetto ad SQL Injection, modalità con la quale il malintenzionato potrà entrare in possesso delle informazioni più importanti presenti nel database: username, password, chivi di cifratura adoperate per la gestione del sito da remoto etc.

Secondo alcune stime, i siti che non avrebbero ancora provveduto al “consigliato” aggiornamento del plugin avrebbero superato quota 100.000.

 

 

Tutorial

Vuoi approfondire degli argomenti specifici? Segui i miei tutorial, per dubbi o domande contattami.

Vai ai tutorial

Flickr

Guarda le mie foto su Flickr. Hai bisogno di foto particolari? Vuoi imparare a fotografare? Contattami
flickr_logo

Servizi Online

Vuoi predisporre il tuo sito web personalizzato? Hai bisogno di aiuto o consulenza?

Acquista i servizi online

Contattami

Per approfondimenti o informazioni su corsi di formazione o lavori contattami.

Richiedi uno scambio link con il mio sito.