WordPress, la piattaforma OpenSource per blog, ha un problema con il plugin UpdraftPlus

Marco Bonfiglio
0

WordPress è la base per più del 40% dei siti internet, quindi qualsiasi problema di sicurezza lo riguardi ha ripercussioni importanti, sempre.

Uno dei punti di forza di WordPress è anche il suo più grande punto debole: i plugin. Grazie a questo meccanismo, è possibile aggiungere o affinare capacità al sistema, ma la sicurezza del tutto dipende da quella di ciascun componente, per cui la vulnerabilità globale è data dal componente della vulnerabilità maggiore.

E infatti oggi parliamo non tanto di un baco di WordPress, ma quanto di uno dei suoi plugin più diffusi: UpdraftPlus. Si tratta di una utility dedicata al backup dell’istanza WordPress, proprio per avere una copia in caso di intrusioni o manomissioni, da tenere al sicuro.
Il buco individuato permette a qualsiasi utente collegato al sito, ovvero che abbia fatto login, di scaricarsi una copia di quel backup. Cosa non del tutto immediata: l’attaccante deve fare un po’ di reverse-engineering del sito e del plugin per avere i puntamenti corretti, ma nemmeno del tutto impossibile.

Con una copia del backup, un eventuale attaccante ha accesso a tutte le informazioni contenute sul sito, comprese quelle normalmente riservate. E sebbene alcune siano criptate (come le password degli utenti), non tutto è altrettanto sicuro.

Affinché si possa definire questo bug molto grave serve che sia possibile creare utenze senza autorizzazioni particolari e – ovviamente – il plugin installato. Ma entrambe le condizioni sono piuttosto diffuse, il che rende possibile il verificarsi di entrambe, cosa che mette in pericolo tutti gli utenti di quel sito.

Le patch sono già state rilasciate e, a giudicare dal picco di download dei giorni scorsi, in tanti hanno già aggiornato il plugin (merito anche delle politiche di aggiornamento automatico di WordPress, senza dubbio). Ma un controllo, anche di altri plugin, non farebbe male!

Marco Bonfiglio

Ho coltivato la mia passione per l’informatica fin da bambino, coi primi programmi BASIC. In età adulta mi sono avvicinato a Linux ed alla programmazione C, per poi interessarmi di reti. Infine, il mio hobby è diventato anche il mio lavoro.
Per me il modo migliore di imparare è fare, e per questo devo utilizzare le tecnologie che ritengo interessanti; a questo scopo, il mondo opensource offre gli strumenti perfetti.

, , ,

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

GitHub
Vai alla sezione Articoli
Vai ai Saturday’s Talks

Categories

Articoli (68) Il mmullato (3) Notizie (2909) Saturday's Talks (46)

Tag cloud

ai (43) Android (32) AWS (30) Bug (67) Canonical (81) CentOS (41) Cloud (59) container (48) Controversia (34) Debian (88) desktop (30) docker (61) Fedora (52) Firefox (36) GitHub (67) Google (85) IBM (49) Intel (54) KDE (35) Kernel (219) Kubernetes (89) Linux (673) LinuxFoundation (31) LTS (32) Malware (54) Microsoft (179) MicrosoftLovesLinux (37) Mozilla (37) open-source (323) Openstack (56) Oracle (34) Patch (30) RaspberryPI (30) Red Hat (154) Release (46) RHEL (37) SaturdaysTalks (45) Sicurezza (90) Software (36) SUSE (34) systemd (73) Torvalds (79) Ubuntu (167) Vulnerabilità (55) Windows (80)