Questo sito contiene link di affiliazione per cui può essere compensato

Home » Hi-Tech » Internet » Oltre un milione di siti WordPress a rischio per un bug su plug-in

Oltre un milione di siti WordPress a rischio per un bug su plug-in

Pubblicità

Più di un milione di siti web costruiti con WordPress potrebbero essere vulnerabili a causa di alcune criticità nella maggior parte delle versioni di un plugin chiamato WP-SlimStat, uno strumento di analisi  scaricato più di 1,3 milioni di volte.

In base a quanto riportato da Sucuri, le versioni precedenti alla recente pubblicazione di SlimStat 3.9.6 contengono una chiave facilmente intuibile che viene utilizzata per firmare i dati inviati e ricevuti dai computer degli utenti finali. Il risultato è la possibilità di un attacco in grado di “iniettare” codice SQL (SQL Injection) che può essere utilizzato per estrarre dati altamente sensibili, tra cui password criptate e le chiavi di crittografia utilizzate per amministrare in remoto i siti web.

“Se il tuo sito web utilizza una versione vulnerabile del plugin, sei a rischio – dice Marc-Alexandre Montpas, un ricercatore senior presso Sucuri – lo sfruttamento di questo bug potrebbe portare ad attacchi di SQL Injection, il che significa che un utente malintenzionato potrebbe prendere informazioni sensibili dal database, tra cui il nome utente, hashed password e, in alcune configurazioni, le chiavi segrete WordPress, che potrebbe tradursi in un totale controllo del sito”.

La chiave segreta usata dal plugin WP-SlimStat non è altro che l’hash MD5 del timestamp di installazione del plugin. Un utente malintenzionato potrebbe utilizzare l’Internet Archive o siti simili per determinare l’anno in cui un sito è stato messo on-line. Basterebbe questo dato per ridurre la mole di lavoro di un hacker a 30 milioni di valori da testare, un’impresa che potrebbe essere completata automaticamente in circa 10 minuti. Una volta che la chiave segreta è stata indovinata, l’aggressore la può utilizzare per estrarre i dati dal database. Il consiglio è dunque aggiornare il prima possibile il plugin.

slimstat

Offerte Apple e Tecnologia

Le offerte dell'ultimo minuto le trovi nel nostro canale Telegram

Black Friday

BOZZA PER LISTONE BLACK FRIDAY NON TOCCARE - macitynet.it

Per trovare le migliori occasioni di Black Friday Week, BlackFriday e CyberMonday: visitate la nostra pagina con tutte le offerte Black Friday costantemente aggiornata con tutte le news pubblicate e iscrivetevi ai nostri 2 canali telegram Offerte Tech e Oltre Tech per le offerte lampo e le offerte WOW che sono diverse ogni giorno e durano 16 ore.

Consultate il banner in alto nelle pagine di Macitynet sia nella versione mobile che desktop: vi mostreremo a rotazione gli sconti top.

Dalla 00.00 del 21 Novembre fino alla mezzanotte del 2 Dicembre vi mostriamo tutti i prodotti delle selezioni Apple, monitor, SDD etc. Nel corso delle ore anche l'elenco qui sotto si popolerà con i link agli articoli principali divisi per categorie.

Nota: I prezzi riportati in verde nelle offerte Amazon sono quelli realmente scontati e calcolati rispetto ai prezzi di listino oppure alla media dei prezzi precedenti. Il box Amazon riporta normalmente gli sconti rispetto al prezzo medio dell'ultimo mese o non riporta affatto lo sconto. Le nostre segnalazioni rappresentano una convenienza di acquisto e comunque controllate sempre il prezzo nella pagina di arrivo. Segnaliamo anche offerte dirette delle aziende.

Speciali

Apple

Video, Foto, Creatività

Memorie (SSD, HD, Micro SD, SD, RAM)

Audio e video streaming

Smartphone e Accessori

Computer e Accessori computer 

Gaming

Software

Domotica

Casa, Cucina e Giardino

Sport e attività all'aperto, Salute

Prodotti Amazon e settori di offerte

Pubblicità

Ultimi articoli

Pubblicità