WP GDPR Compliance compromesso: ecco come abbiamo protetto i siti su Serverplan


Postato in data Novembre 15th, da Riccardo Esposito in News. 4 comments

La notizia è decisiva: WP GDPR Compliance, uno dei plugin più famosi per la gestione del GDPR sui siti web, ha reso nota una vulnerabilità molto grave che potrebbe metterti in difficoltà. Il problema, infatti, consente a un malintenzionato di ottenere i diritti di amministratore. Con tutti i problemi che puoi ben immaginare per il tuo progetto.

WP GDPR Compliance compromesso

Attenzione a questo plugin.

Non importa se hai tutti i passaggi di sicurezza: il problema consente di bypassare le verifiche che ti consentono di non accettare nuovi utenti fino ad aprire le porte al grado più alto di gestione di un blog. Così, tutti i siti WordPress con un’estensione WP GDPR Compliance non aggiornata può essere vittima dei criminali che vogliono minare la tua attività. 

Cosa è successo dal punto di vista tecnico

Il problema è stato scoperto l’8 novembre da Wordfence. Le versioni WP GDPR Compliance 1.4.2 e precedenti gestiscono alcune azioni che possono essere inviate attraverso file admin-ajax.php. Queste comprendono richieste di accesso e modifiche dati da parte degli utenti:

“However, unpatched versions of WP GDPR Compliance (up to and including version 1.4.2) fail to do capability checks when executing its internal action save_setting to make such configuration changes. If a malicious user submits arbitrary options and values to this endpoint, the input fields will be stored in the options table of the affected site’s database”.

Come sottolinea Wordfence, le versioni senza patch di WP GDPR Compliance (fino alla 1.4.2 inclusa) non riescono a fare i controlli quando si esegue l’azione interna save_setting per apportare tali modifiche alla configurazione. Così il malintenzionato si apre un varco.

Cosa fare se hai anche tu WP GDPR Compliance 

Aggiornare subito il plugin abbandonando la release 1.4.2 o precedente. Con oltre 100.000 installazioni attive, WP GDPR Compliance ha aperto una falla grave per i proprietari dei siti. Appena i tecnici dell’estensione se ne sono accorti hanno rilasciato la versione 1.4.3 perché tutte le soluzioni più vecchie sono potenzialmente dannose per la sicurezza del sito.

WP GDPR Compliance

Ecco WP GDPR Compliance.

Temi che il tuo sito sia stato colpito da un attacco a causa di questo problema e non sai cosa fare? Contatta il tuo webmaster e inizia i controlli di routine: improvvisare in questi casi non è consigliabile, meglio dare priorità alla sicurezza quando devi affrontare simili problemi.

Cosa ha fatto Serverplan per aiutare i clienti

Il nostro team tecnico ha apportando un script per tamponare la falla. Cosa significa questo? Data la gravità della situazione, abbiamo applicato un upgrade forzato del plugin di tutti i siti in hosting condiviso Linux che usano WordPress e la suddetta estensione.

Questo perché è giusto garantire, quando possibile e necessario, tutti i passaggi per la sicurezza dei nostri clienti. Grazie a un’assistenza specializzata nella gestione dei singoli CMS interventi del genere possono essere rapidi e immediati. Puoi ben immaginare che in questi casi i tempi d’intervento sono decisivi.

Riccardo Esposito

Blogger per Serverplan, webwriter freelance e autore di My Social Web. Scrivo ogni giorno. Ho pubblicato un libro dedicato al mondo del blogging. Ah, l'ho già detto che scrivo?




4 commenti su “WP GDPR Compliance compromesso: ecco come abbiamo protetto i siti su Serverplan

    • Solo su hosting condiviso, Sui VPS ci sono delle personalizzazioni che ci impediscono di intervenire in prima persona.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

*

Shares