[vc_row][vc_column][vc_column_text css_animation="top-to-bottom"]Sono state scoperte varie e gravi vulnerabilità in uno dei plugin più utilizzati per ottimizzare il SEO di un sito internet costruito con Wordpress.
Stiamo parlando di All in One SEO Pack, un plugin scaricato e utilizzato da milioni di utenti di WP grazie alla sua facilità d'uso e semplicità di configurazione. Sono queste le caratteristiche che lo fanno utilizzare da una moltitudine di persone in rete.
Ma, se utilizzate questo plugin è opportuno aggiornare immediatamente all'ultima versione: All in One SEO Pack 2.1.6.
Nella giornata di oggi 31 maggio 2014, il team di sviluppo di All in One SEO Pack ha rilasciato un aggiornamento di sicurezza (patch) per fissare due falle che permettono una critical privilege escalation e un bug per effettuare un cross site scripting (XXS) scoperte dai ricercatori della sicurezza di Sucuri, servizio di monitoraggio del web e di pulizia dal malware.
Sono più di 73 milioni gli utenti e amministratori di siti internet che utilizzano Wordpress per amministrare il proprio sito web e di questi più di 15 milioni utilizzano All in One SEO Pack per ottimizzare il sito per i motori di ricerca.
La Privilege Escalation
Secondo Sucuri, questa vulnerabilità permetterebbe ad un utente malintenzionato di aggiungere e modificare le meta informazioni del sito Wordpress preso di mira, danneggiandone il posizionamento sui motori di ricerca.
Nel primo caso, un utente loggato, senza possedere alcun tipo di privilegi amministrativi (come semplice autore) potrebbe aggiungere o modificare alcuni dei parametri SEO che il plugin permette di configurare. Questi sono il title del post, la description e il meta tag keywords.
dice Sucuri
Il cross-site scripting
Questa vulnerabilità può essere sfruttata da un hacker malintenzionato per eseguire codice JavasScript malevolo nel pannello di controllo dell'amministratore.
Questo significa che un utente malintenzionato potrebbe iniettare codice JavaScript e effettuare un cambio password dell'account amministratore e lasciare backdoor nei file del tuo sito web al fine di eseguire in seguito attività ancora più diaboliche.
Dice Sucuri sul suo blog
Una vulnerabilità nei plugin di Wordpress è una delle cause principali con cui bucare un sito creato con questo CMS e uno dei principali mezzi nell'arsenale degli hacker. Le vulnerabilità dei plugin possono essere usate per accedere a informazioni sensibili, deturpare i siti internet, reindirizzare i visitatori ad un sito dannoso o per eseguire attacchi DDos.
Fino ad oggi queste vulnerabilità non sono state sfruttate, ma per chi ha un sito web costruito con Wordpress si raccomanda di aggiornare quanto prima il plugin All in One SEO Pack alla versione più recente.[/vc_column_text][/vc_column][/vc_row]
pino
Nato con la passione per l'informatica da mamma Access e papà ASP nel 2002 rinnego repentinamente la mia paternità facendomi adottare da papà PHP e mamma SQL.
Allevo HTML e correlati fiori in CSS mentre vedo i frutti del mio orticello SEO crescere grazie alla passione e alla dedizione della coltura biodinamica; perchè il biologico è fin troppo artificiale.
Realizzo siti internet a tempo pieno, nei restanti momenti mi occupo di redigere articoli per questo sito e saltuariamente far esperimento nel mare che è internet.
