WordPress Duplicator: individuata vulnerabilità su Duplicator e Duplicator Pro

Se l'hai trovato utile condividilo

Aggiornato recentemente a Settembre 3rd, 2023 alle 03:43 pm

Wordpress Duplicator

WordPress Duplicator: individuata vulnerabilità su Duplicator e Duplicator Pro

WordPress Duplicator

Ripropongo un articolo che ho scritto un po di tempo fa sulla sicurezza informatica di WordPress risalente a un evento del 20 Febbraio 2020. Prima di leggere questo articolo (la cui falla di sicurezza e’ stata risolta dagli sviluppatori) ti consiglio:

  • di usare plugin che hanno aggiornamenti frequenti. Quelli con aggiornamenti settimanali o mensili sono da preferire,
  • aggiornare sempre i plugin e il tema in uso,
  • non tenere installati molti temi. Usate il tema che usate (insieme al suo tema child) e il tema di base dato da WordPress,
  • cambiate regolarmente le chiavi di cifratura presenti nel filw wp-config-php,
  • non consentite l’accesso a il file wp-config.php agli utenti esterni,
  • non consentite l’accesso al file .htacess.

In pochi giorni WordPress ha una nuova vulnerabilità oltre a quella del plugin del tema ThemeGrill. Anche questa volta la falla di sicurezza è generata da plugin Sto parlando del plugin Duplicator (fino alla versione 1.3.26) e Duplicator Pro (fino alla versione 3.8.7). È stata trovata dai ricercatori di cyber security di WordFence. Se non conosci WordFence è meglio che lo installi subito sul tuo WordPres. È un plugin per la sicurezza informatica che tutti devono avere. Risolto il problema potresti anche essere interessato a migliorare il posizionamento su Google del tuo sito web.

Se un individuo malevolo sfruttasse questa falla di sistema permetterebbe il download dei file presenti nel sito senza necessita di autenticarsi. Infatti, lo scopo principale di Duplicator, come riprende il CERT-PA, aiuta gli amministratori di siti web su piattaforma WordPress a migrare e copiare siti di questo CMS. Gran parte di questo processo permette l?esportazione di ogni contenuto presente nel database; e tutti i file in archivi portatili.

Ogni qual volta che viene creata una copia del sito web, questo plugin permette di scaricare i file generati dalla dashboard. La duplicazione è messa in pratica grazie a una richiesta AJAX nell’interfaccia d’amministrazione. In questo modo i pulsanti di download attivano una chiamata al gestore AJAX di WordPress. Tramite l?azione duplicator_download ed un parametro del file. Tale parametro indica la posizione del file da scaricare. Ed esso è scaricato che l?utente sia obbligato a uscire o ricaricare la pagina corrente. Questo quello che dicono gli esperti di WordFence:

La falla se sfruttata, può consentire ad un?utente malevolo di appropriarsi alle credenziali di accesso del database del sito web. Ed scaricare ogni file senza autentificarsi.

Gli esperti di cyber security, sottolineano che purtroppo il modo di operare di duplicator_download è stata registrata tramite wp_ajax_nopriv_ ed è accessibile agli utenti non autenticati e senza nessun tipo di restrizione.

Per di più, un utente malintenzionato può raggiungere i file in diverse directory inviando valori come ..//..//../file.php. Il parametro del file viene successivamente passato attraverso sanitize_text_filed. Ed infine, aggiunto alla costante del plugin WordPress.

L’uso di questo bug consente di recuperare le credenziali del database del sito di destinazione. In modo successivo, ogni utente malintenzionato potrebbe in modo parziale accedere al database grazie a queste credenziali.

È consigliabile aggiornare tutti. Soprattutto se sono installata plugin che sono attivi su circa 1 milione di siti web. E gli hacker sono già presenti in rete con la soluzione per rubare i tuo dati, in modo semplice e immediato.

Se l'hai trovato utile condividilo
Andrea Barbieri
Andrea Barbieri

Andrea Barbieri il consulente per la tua crescita online

Andrea Barbieri è il fondatore e proprietario di BTF Traduzioni SEO Sviluppo Web, un’azienda situata a Poggibonsi specializzata nella divulgazione della SEO di qualità e nella realizzazione di siti web professionali. Con una passione inarrestabile per il mondo digitale, Andrea ha dedicato la sua carriera a fornire servizi di consulenza SEO, sviluppo web e consulenze linguistiche per aziende che mirano a crescere e affermarsi online.

Un Pioniere della SEO Ben Fatta

Andrea Barbieri è conosciuto per il suo approccio rigoroso e scientifico alla SEO. Non si tratta semplicemente di migliorare il posizionamento sui motori di ricerca, ma di farlo nel modo giusto. Andrea si impegna a diffondere le migliori pratiche SEO, basate su dati concreti e strategie efficaci, che permettono ai suoi clienti di ottenere risultati duraturi e sostenibili. Attraverso BTF Traduzioni SEO Sviluppo Web, Andrea offre una gamma di servizi pensati per ottimizzare la visibilità online e migliorare l’esperienza utente.

Realizzazione di Siti Web di Qualità

La realizzazione di siti web non è solo una questione di design accattivante, ma di funzionalità, usabilità e performance. Andrea Barbieri e il suo team si dedicano a creare siti web che non solo rappresentano al meglio l’identità del cliente, ma che sono anche ottimizzati per la conversione e la soddisfazione degli utenti. Ogni progetto è curato nei minimi dettagli, con un’attenzione particolare all’ottimizzazione SEO e alla user experience.

Traduzioni e Localizzazione in 96 Combinazioni Linguistiche

Un aspetto distintivo di BTF Traduzioni SEO Sviluppo Web è la capacità di offrire servizi di traduzione e localizzazione in ben 96 combinazioni linguistiche. Questo permette ai clienti di Andrea Barbieri di raggiungere un pubblico globale con contenuti perfettamente adattati alle diverse culture e lingue. La precisione nella traduzione e l’attenzione alla localizzazione assicurano che i messaggi e i prodotti dei clienti siano efficaci e pertinenti in ogni mercato di destinazione.

Consulenza per Aziende Ambiziose</h2

Oltre ai servizi di SEO e sviluppo web, Andrea Barbieri offre consulenza SEOpersonalizzata per aziende che sono davvero intenzionate a crescere online. Il suo approccio è collaborativo e orientato ai risultati, mirato a capire le esigenze specifiche di ogni cliente e a sviluppare strategie su misura che possano portare a una crescita significativa e sostenibile nel tempo.

Scrittore e Divulgatore del Business Online

Andrea Barbieri non è solo un esperto di SEO e sviluppo web, ma anche uno scrittore prolifico su tutti gli argomenti legati al business online. Attraverso articoli, blog,pubblicazioni e podcast, Andrea condivide la sua vasta conoscenza e le sue intuizioni con una comunità globale di lettori. I suoi scritti sono una risorsa preziosa per chiunque voglia approfondire le dinamiche del business digitale e rimanere aggiornato sulle ultime tendenze e tecniche del settore.

Conclusione

Andrea Barbieri rappresenta una figura di riferimento nel panorama della SEO e dello sviluppo web in Italia. Con la sua azienda, BTF Traduzioni SEO Sviluppo Web, continua a elevare gli standard del settore, offrendo servizi di altissima qualità e consulenza specializzata per aziende pronte a fare il salto di qualità nel mondo digitale. La sua passione per la divulgazione e l’educazione, combinata con un impegno costante verso l’eccellenza, fa di Andrea un partner ideale per qualsiasi impresa che desideri prosperare online.

Sono Andrea Barbieri titolare della BTF Traduzioni SEO Sviluppo Web. La mia azienda si occupa di Consulenza SEO, realizzazione siti web, sviluppo app, traduzioni professionali, localizzazione siti web e Web Marketing. Insieme al mio team metto al servizio delle aziende la mia formazione tecnica e linguistica nel settore della Information Technology, sviluppo siti web e App e Web Marketing. Trovando le migliori soluzioni digitali e linguistiche con il minor costo possibile.

Leggi tutti gli articoli di Andrea Barbieri

Articoli: 236

Lascia una risposta

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Ottimizzato da Optimole