31/05/2014 CMSTecnicaWordpress 2 8526
All in One SEO Pack: scoperta una vulnerabilità

Sono state scoperte varie e gravi vulnerabilità in uno dei plugin più utilizzati per ottimizzare il SEO di un sito internet costruito con Wordpress.

Stiamo parlando di All in One SEO Pack, un plugin scaricato e utilizzato da milioni di utenti di WP grazie alla sua facilità d'uso e semplicità di configurazione. Sono queste le caratteristiche che lo fanno utilizzare da una moltitudine di persone in rete.

Ma, se utilizzate questo plugin è opportuno aggiornare immediatamente all'ultima versione: All in One SEO Pack 2.1.6.

Nella giornata di oggi 31 maggio 2014, il team di sviluppo di All in One SEO Pack ha rilasciato un aggiornamento di sicurezza (patch) per fissare due falle che permettono una critical privilege escalation e un bug per effettuare un cross site scripting (XXS) scoperte dai ricercatori della sicurezza di Sucuri, servizio di monitoraggio del web e di pulizia dal malware.

Sono più di 73 milioni gli utenti e amministratori di siti internet che utilizzano Wordpress per amministrare il proprio sito web e di questi  più di 15 milioni utilizzano All in One SEO Pack per ottimizzare il sito per i motori di ricerca.

La Privilege Escalation

Secondo Sucuri, questa vulnerabilità permetterebbe ad un utente malintenzionato di aggiungere e modificare le meta informazioni del sito Wordpress preso di mira, danneggiandone il posizionamento sui motori di ricerca.

Nel primo caso, un utente loggato, senza possedere alcun tipo di privilegi amministrativi (come semplice autore) potrebbe aggiungere o modificare alcuni dei parametri SEO che il plugin permette di configurare. Questi sono il title del post, la description e il meta tag keywords.

dice Sucuri

Il cross-site scripting

Questa vulnerabilità può essere sfruttata da un hacker malintenzionato per eseguire codice JavasScript malevolo nel pannello di controllo dell'amministratore.

Questo significa che un utente malintenzionato potrebbe iniettare codice JavaScript e effettuare un cambio password dell'account amministratore e lasciare backdoor nei file del tuo sito web al fine di eseguire in seguito attività ancora più diaboliche.

Dice Sucuri sul suo blog


Una vulnerabilità nei plugin di Wordpress è una delle cause principali con cui bucare un sito creato con questo CMS e uno dei principali mezzi nell'arsenale degli hacker. Le vulnerabilità dei plugin possono essere usate per accedere a informazioni sensibili, deturpare i siti internet, reindirizzare i visitatori ad un sito dannoso o per eseguire attacchi DDos.

Fino ad oggi queste vulnerabilità non sono state sfruttate, ma per chi ha un sito web costruito con Wordpress si raccomanda di aggiornare quanto prima il plugin All in One SEO Pack alla versione più recente.

pino

Nato con la passione per l'informatica da mamma Access e papà ASP nel 2002 rinnego repentinamente la mia paternità facendomi adottare da papà PHP e mamma SQL.
Allevo HTML e correlati fiori in CSS mentre vedo i frutti del mio orticello SEO crescere grazie alla passione e alla dedizione della coltura biodinamica; perchè il biologico è fin troppo artificiale.
Realizzo siti internet a tempo pieno, nei restanti momenti mi occupo di redigere articoli per questo sito e saltuariamente far esperimento nel mare che è internet.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *


Commenti
dario
Rispondi 09-07-2014 20:00
dario
Buonasera ho al versione 2.1.7 ma da quando l'ho installata nella finestra della sitemap.xml non vedo più scritto la stringa che vedevo sulla sitemap, che era stata aggiornata, adesso invece dagli strumenti webmaster di google mi dice che il file robot, non lo vede più, eppure c'è, non so che fare, ne ho sempre una, questo plugin a mio avviso è una sola incredibile, finora mi ha dato solo problemi, purtroppo ormai ce l'ho e toglierlo per me significa un gran casino, aiutatemi se potete a risolvere questo problema grazie, non so da cosa dipenda..
Pino Galvagno
Rispondi 10-07-2014 09:07
Pino Galvagno
Gentile Dario, prima di poterle rispondere ci servono ulteriori informazioni: - Il sito di cui parla in cui ha problemi è astrologiadivina.it? - Cosa intende con “non vedo più scritto la stringa che vedevo sulla sitemap”: che non le compare più come voce di menù nella barra laterale o che la sua sitemap ora ha un nome diverso rispetto a quello di prima? - Se va nel pannello di webmaster, alla voce Scansione >> Url Bloccati sotto alla voce file robots.txt Non vede più il suo file robots oppure lo vede e in quel caso cosa le segna sotto la colonna “Stato” Cordiali Saluti
Approfondimenti correlati