Problemi di sicurezza per wordpress | Ecommerce Guru

Problemi di sicurezza per i siti WordPress

Leggimi

Si tratta di un attacco di tipo hijacking, che compromette i contenuti visuali dirottando i visitatori su altre pagine quando interagiscono con i link della tua pagina.

Se gestisci un sito WordPress è bene che te ne guardi.

La minaccia è dovuta a un bug di tipo XSS (Cross-Site Scripting), individuato nel pacchetto Genericons, ed è causato da una vulnerabilità presente nell’installazione predefinita del popolare CMS (Content Management System).

Tale insidia è una tecnica di attacco che è conosciuta anche come Browser Hijacking che, attraverso il redirect lato client, offre all’utente un contenuto diverso che va a sostituire quello del sito vittima.

Il vantaggio ricercato da coloro che attaccano, risiede nello sfruttare tale dirottamento ai fini di aumentare la visualizzazione dei propri contenuti, aumentandone il traffico e il relativo guadagno in ottica Pay per click.

In questo specifico caso si tratta di una vulnerabilità XSS DOM-based, cioè legata al Document Object Model, che riguarda aspetti legati alla visualizzazione della nostra pagina: link, immagini e visualizzazione di elementi testuali.

Si tratta di un attacco lato client, che sfruttando il bug permette di eseguire codice JavaScript nel caso in cui l’utente abbia effettuato l’accesso come amministratore. Basta una semplice mail o un messaggio contenente un link!

Ecco in ogni caso come puoi risolvere il problema in maniera altrettanto semplice:

Installando la versione 4.2.2 di WordPress, rilasciata al pubblico in data 6 maggio e nella quale il problema è stato risolto.

Eliminando il file example.html nel package Genericons, che è poi il medesimo accorgimento operato dai responsabili del progetto open source nella sua ultima versione, dove tutti i temi e plugin della piattaforma sono stati aggiornati in maniera tale da non contenere questo file inessenziale.

In ogni caso si consiglia di procedere installando la nuova versione, per evitare di incorrere in altri problemi facenti capo a 13 bug risolti nella medesima.

 

Consigliati