Crea sito
IpCeI-Pagina-Facebook
0577980092 3296664935

BTF Traduzioni SEO Sviluppo Web

Ciao sono Andrea Barbieri, il mio studio migliora la comunicazione delle aziende. Con la progettazione di siti web, localizzazione sito web, Web Marketing, Social Media Manager, Copywriting e traduzioni professionali.

andrea barbieri
btf freccia

WordPress, individuata vulnerabilità su Duplicator e Duplicator Pro

WordPress, individuata vulnerabilità su Duplicator e Duplicator Pro

duplicator vulnerabilita'

In pochi giorni WordPress ha una nuova vulnerabilità oltre a quella del plugin del tema ThemeGrill. Anche questa volta la falla di sicurezza e’ generata da plugin Sto parlando del plugin Duplicator (fino alla versione 1.3.26) e Duplicator Pro (fino alla versione 3.8.7). E’ stata trovata dai ricercatori di cyber security di WordFence. Se non conosci WordFence e’ meglio che lo installi subito sul tuo WordPres. E’ un plugin per la sicurezza informatica che tutti devono avere. Risolto il problema potresti anche essere interessato a migliorare il posizionamento su Google del tuo sito web.

Se un individuo malevolo sfruttasse questa falla di sistema permetterebbe il download dei file presenti nel sito senza necessita di autenticarsi. Infatti, lo scopo principale di Duplicator, come riprende il CERT-PA, aiuta gli amministratori di siti web su piattaforma WordPress a migrare e copiare siti di questo CMS. Gran parte di questo processo permette l’esportazione di ogni contenuto presente nel database; e tutti i file in archivi portatili.

Ogni qual volta che viene creata una copia del sito web, questo plugin permette di scaricare i file generati dalla dashboard. La duplicazione e’ messa in pratica grazie ad una richiesta AJAX nell’interfaccia d’amministrazione. In questo modo i pulsanti di download attivano una chiamata al gestore AJAX di WordPress. Tramite l’azione duplicator_download ed un parametro del file. Tale parametro indica la posizione del file da scaricare. Ed esso e’ scaricato che l’utente sia obbligato ad uscire o ricaricare la pagina corrente. Questo quello che dicono gli esperti di WordFence:

La falla se sfruttata, può consentire ad un’utente malevolo di appropriarsi alle credenziali di accesso del database del sito web. Ed scaricare ogni file senza autentificarsi.

Gli esperti di cyber security, sottolineano che putroppo il modo di operare di duplicator_download e’ stata registrata tramite wp_ajax_nopriv_ ed e’ accessibile agli utenti non autenticati e senza nessun tipo di restrizione.

Per di piu’, un utente malintenzionato puo’ raggiungere i file in diverse directory inviando valori come ..//..//../file.php. Il parametro del file viene successivamente passato attraverso sanitize_text_filed. Ed infine, aggiunto alla costante del plugin WordPress.

L’uso di questo bug consente di recuperare le credenziali del database del sito di destinazione. In modo successivo, ogni utente malintenzionato potrebbe in modo parziale accedere al database grazie a queste credenziali.

E’ consigliabile aggiornare tutti. Soprattutto se sono installata plugin che sono attivi su circa 1 milione di siti web. E gli hacker sono gia’ presenti in rete con la soluzione per rubare i tuo dati, in modo semplice ed immediato.

Non condivideremo i tuoi dati con terze parti
logo btftraduzioniseoweb andrea barbieri
BTF Traduzioni SEO Sviluppo Web
Piazza Giuseppe Mazzini, 46
Poggibonsi, Siena, 53036 Italia
+393296664935
traduzione, traduttore, programmatore, blogger, realizzazione siti web, Web Marketing, lezioni private di lingua,

About Andrea Barbieri

Andrea Barbieri e’ il titolare dello studio BTF Traduzioni SEO Sviluppo Web. Si occupa di traduzioni professionali, progettazione siti web WordPress, Joomla, Drupal, HTML/CSS, E-commerce, Localizzazione siti web, posizionamento sui motori di ricerca, programmazione per piattaforme web e per microcontrollori. Inoltre si occupa nella progettazione e sviluppo di landing page ed ottimizzazione di testi per landing page e siti web con l’uso del Copywriting. Effettua anche consulenza SEO in Italia e all’estero. Per parlare direttamente con lui clicca sulla casella delle email sotto questa biografia.











Leave a Comment