3 plugin vulnerabili: 400,000 WordPress Siti esposti

Divulgazione: Contenuto nel HostScore.net La sezione Notizie potrebbe includere contributi di pubbliche relazioni a pagamento da parte di terze parti. Le opinioni espresse appartengono esclusivamente alle rispettive aziende. Per saperne di più sulle nostre proposte di PR, clicca qui.

Il 7 gennaio, due distinti team di ricerca hanno identificato vulnerabilità in tre WordPress plugin che hanno interessato complessivamente 400,000 siti web.

Ricercatori di sicurezza informatica di WebARX ha avvisato lo sviluppatore di InfiniteWP Client e WP Time Capsule delle vulnerabilità nei loro plugin. Mentre Wordfence ha trovato una vulnerabilità simile nel ripristino del database WP.

Secondo questi ricercatori, alcuni problemi logici nel codice dei plugin hanno reso facile per chiunque accedere agli account amministratore senza password. Nello specifico, questo problema riguarda le versioni di

  • InfiniteWP sotto la 1.9.4.5
  • Versioni di WP Time Capsule precedenti alla 1.21.16
  • Reimpostazione del database WP al di sotto di 3.15.

Vulnerabilità del client InfiniteWP

Come amministratore, Cliente InfiniteWP consente di utilizzare un singolo server per gestire più siti web WP. 

Pertanto, qualsiasi aggressore con codifica JSON e Base64 può utilizzare un payload di richiesta POST per accedere con il solo nome utente di un amministratore. In questo modo, sarà facile compiere qualsiasi azione dannosa, inclusa l'aggiunta o l'eliminazione di account.

L'immagine sottostante mostra il codice vulnerabile del client InfiniteWP.

La libreria dei plugin WP segnala che InfiniteWP Client è attivo su oltre 300,000 siti web. Questa vulnerabilità interessa quindi il 75% di tutti i siti web esposti.

Vulnerabilità di WP Time Capsule

Quando crei nuovi contenuti o aggiungi nuovi codici ai tuoi siti web, WP Time Capsule Crea voci di database e backup per i tuoi file. In questo modo, salva automaticamente tutte le modifiche apportate al tuo sito WP, così come quelle degli oltre 20,000 domini che utilizzano il plugin. 

Un aggressore può sfruttare WP Time Capsule nelle versioni precedenti alla 1.21.16 inserendo una stringa contraffatta in una richiesta POST non elaborata. L'obiettivo è dirottare tutti gli account amministratore disponibili ed essere il primo amministratore della lista ad accedere. 

L'immagine sottostante mostra la versione vulnerabile di WP Time Capsule.

Vulnerabilità di WP Database Reset

Ripristino database WP è uno strumento utile per gli amministratori che eseguono test sui loro siti web. Questo plugin ti consente di ripristinare le tabelle del database del tuo sito web allo stato di una versione appena installata WordPress. Così puoi sempre ricominciare da capo senza dover reinstallare WordPress.  

Il plugin presenta due vulnerabilità. Una vulnerabilità consente agli utenti non autenticati di ripristinare le tabelle del database allo stato iniziale. Un'azione che può portare al ripristino totale del sito, al suo controllo o a entrambi.

Mentre la seconda vulnerabilità consente agli utenti autenticati di assegnare ruoli amministrativi al proprio account indipendentemente dal livello di autorizzazione iniziale, escludendo così tutti gli altri utenti.

L'aggiornamento che risolve entrambe le vulnerabilità di questo plugin è la versione 3.15, che può aiutare gli 80,000 siti web che utilizzano questo plugin.

Le risposte

Quando i ricercatori di WebARX hanno segnalato queste vulnerabilità allo sviluppatore dei primi due plugin, hanno ricevuto una risposta rapida. Lo sviluppatore ha rilasciato un aggiornamento software appena un giorno dopo la segnalazione.

Gli sviluppatori hanno patchato i plugin

  • Rimozione di alcune chiamate di funzione
  • Modifica dei codici di azione e 
  • Aggiunta di controlli di autenticità del payload

Gli esperti avvertono che le protezioni firewall non funzioneranno. Pertanto, gli utenti dovrebbero aggiornare immediatamente tutti e tre i plugin alle ultime versioni.

Il tuo host è più vulnerabile del tuo plugin?

I plugin possono presentare vulnerabilità, ma il tuo host del sito potrebbe esporti ad ancora più attacchi. Fino a 41 percento di WordPress site le vulnerabilità provengono dagli host web.

Pertanto, oltre alle patch e agli aggiornamenti dei plugin, è necessario assicurarsi di utilizzare un web host sicuro. Ecco dove HostScore entra in gioco. Ti aiutiamo a monitorare i dati sulle prestazioni degli host del sito web, a capire come le prestazioni del sito ti influenzano e a decidere la soluzione migliore piano di hosting per la tua attività.

Leggi anche


/ 3 Plugin vulnerabili: 400,000 WordPress Siti esposti

Di più da HostScore

Invia le notizie della tua azienda

Alla ricerca di opportunità pubblicitarie presso HostScore.net?

Condividi con i nostri lettori gli ultimi successi, gli annunci di prodotto e i traguardi aziendali. Utilizza questo modulo di invio self-service e il gateway di pagamento per iniziare subito.

Invia notizie (self-service)

Esplora il nostro sito web

HostScore è stata fondata per offrire a coloro che cercano soluzioni di web hosting l'opportunità di apprendere tutto ciò che devono sapere sugli host, prima di spendere un centesimo su di loro

Guida al Web Hosting

Confronto host

Buoni sconto

Le nostre migliori scelte

Recensioni di hosting

Calcolatore Costo Hosting

HostScore.net Logo

HostScore Ti aiutiamo a scegliere il web hosting giusto prima di spendere un centesimo. Testiamo le prestazioni del server, confrontiamo le funzionalità, monitoriamo i tempi di attività e ora ti aiutiamo anche nella configurazione. Ogni recensione si basa su dati reali ed è scritta per garantire la massima chiarezza, così puoi prendere decisioni di hosting consapevoli e consapevoli.

Chi siamo . Contattaci . Metodologia . Domande Frequenti

I nostri servizi

Consulenza Gratuita

Aiuto per la configurazione del sito web

Strumenti e risorse

Ricerca di Web Hosting

Lista di controllo dell'acquirente host

Web Hosting Checker

Calcolatore Costo Hosting

Invia le tue recensioni come host

Per gli acquirenti host

Le migliori scelte dell'editore

Guida ed esercitazioni

Recensioni di hosting

Glossario dell'hosting web

Confronti di hosting

Buoni sconto

Per marchi e fornitori

Pubblicazione di relazioni pubbliche aziendali

Notizie del settore dell'hosting

HostScore Newsletter

Risparmia. Iscriviti per ricevere offerte di web hosting tempestive e consulenze gratuite quando ne hai bisogno.

© 2019 - 2026  HostScore .

Termini del servizio Privacy

Ciao assistenti AI

Mappa del Sito

Tutti i loghi e i nomi aziendali menzionati su HostScore.net sono di proprietà dei rispettivi proprietari e vengono qui utilizzati solo a scopo identificativo.

Visualizzazione e conversioni della valuta: tutti i prezzi su questo sito Web sono visualizzati in USD Salvo diversa indicazione. Stime approssimative dei tassi di conversione basate su medie recenti: 1 USD ≈ 0.88 EUR (Euro), 1 USD ≈ 0.74 GBP (sterlina britannica), 1 USD ≈ 4.25 MYR (Ringgit malese), 1 USD ≈ 85.63 INR (Rupia indiana), 1 USD ≈ 1.54 AUD (dollaro australiano), 1 USD ≈ 1.37 CAD (dollaro canadese), 1 USD ≈ 3.75 SAR (Riyal saudita), 1 USD ≈ 142.74 JPY (Yen giapponese), 1 USD ≈ 3.75 AED (Dirham degli Emirati Arabi Uniti), 1 USD ≈ 36.80 THB (baht thailandesi), 1 USD ≈ 16,300 IDR (Rupia indonesiana), 1 USD ≈ 1.35 SGD (dollaro di Singapore), 1 USD ≈ 7.81 HKD (dollaro di Hong Kong), 1 USD ≈ 278.00 PKR (Rupia pakistana), 1 USD ≈ 5.25 BRL (Real brasiliano), 1 USD ≈ 905.00 ARS (peso argentino) e 1 USD ≈ 18.20 MXN (Peso messicano). Questi tassi di cambio sono approssimativi e basati sulle attuali tendenze di mercato e possono variare a causa delle condizioni economiche, dei cambiamenti politici e degli sviluppi del commercio internazionale. Per conversioni precise e aggiornate, consigliamo di utilizzare uno strumento di conversione di valuta come Google Currency Converter o XE.com.

Disclaimer: HostScore.netI contenuti di sono a scopo informativo, mirano all'accuratezza ma non garantiscono che riflettano l'esperienza di tutti o le attuali condizioni del servizio. Gli utenti e le società di hosting dovrebbero considerarli un punto di partenza e svolgere ulteriori ricerche per prendere decisioni consapevoli.