Due plug-in rendono i siti Web WordPress vulnerabili agli attacchi di hacking

Settimane difficili per gli sviluppatori e per i proprietari di siti realizzati con WordPress per la comunicazione di gravi vulnerabilità in due plug-in molto noti ed utilizzati: Elementor Pro e WooCommerce Payments.

Avviso critico di vulnerabilità

La principale società di sicurezza di WordPress, Patchstack, ha emesso un avviso critico su due gravi vulnerabilità nei popolari plugin di WordPress Elementor Pro e WooCommerce Payments.

Queste vulnerabilità consentono agli aggressori di ottenere l’accesso non autorizzato ai siti realizzati con WordPress e potenzialmente assumere il controllo degli account amministratore. Queste vulnerabilità sono già state sfruttate per degli attacchi ed è necessario intervenire urgentemente per proteggere il tuo sito dagli attacchi.

hacker sito

Elenco delle vulnerabilità plugin di WordPress

Elementor Pro

Elementor è un page builder innovativo e potente, che va ben oltre la definizione di un semplice plug-in di WordPress. Lanciato nel 2016, Elementor consente di creare pagine web responsive in modo facile e veloce. Grazie alla sua interfaccia intuitiva e user-friendly, consente di personalizzare ogni aspetto della pagina, dalla disposizione dei contenuti alla scelta dei colori e delle font.

La versione Pro (disponibile a pagamento) amplia ancora di più le sue funzionalità.

Elementor Pro ha un difetto in una sua azione AJAX nella quale manca di un adeguato controllo dei privilegi. Ciò potrebbe consentire ad utenti autenticati con privilegi limitati, come abbonati o clienti, di modificare qualsiasi impostazione di WordPress, inclusa l’abilitazione della pagina di registrazione e l’impostazione del ruolo utente predefinito su amministratore.

Hacker potrebbero quindi creare un nuovo account utente con privilegi di amministratore, reindirizzando potenzialmente il sito a un dominio dannoso o inserendo del codice dannoso.

WooCommerce Payments

WooCommerce Payments, sviluppato da Automattic e utilizzato su oltre 500.000 siti, consente di gestire attività e pagamenti del sito WordPress con WooCommerce in un unico posto per accettare pagamenti online e di persona per gli ordini del tuo e-commerce.

WooCommerce Payments presenta una vulnerabilità legata alla scalabilità dei privilegi che consente ai potenziali “aggressori” non autenticati di diventare qualsiasi utente sul sito e ottenere il controllo dell’account di un amministratore.

La vulnerabilità è classificata come critica con un punteggio CVSS di 9,8 ed è probabile che venga presto sfruttata in massa.

sicurezza sito web

Il tuo sito è vulnerabile?

Segui questi passi per capire se il tuo sito è vulnerabile:

  • accedi all’area amministrazione
  • Vai alla pagina dei plugin e verifica la versione dei plugin:
    • Elementor Pro versione < 3.11.7
    • WooCommerce Payments < versione 5.6.2

Se sul tuo sito hai questi due plugin e le versioni sono precedenti a quelle che contengono le patches di sicurezza necessarie a restare in sicurezza è necessario affrettarsi a fare un aggiornamento!

Come aggiornare un sito vulnerabile

Per aggiornare un sito in WordPress in sicurezza e senza rischiare di imbattersi in problemi di compatibilità tra plugin – core di WordPress e tema che potrebbero rendere il sito inutilizzabile, il fai da te è sconsigliato, così come l’attivazione della funzione per l’aggiornamento automatico.

Operazioni come un back-Up completo dei dati del sito e/o negozio e-commerce e test della compatibilità su area di staging, sono fondamentali per aggiornare il sito in sicurezza e per questo è necessario che questo venga fatto da un esperto.

Contattaci: Siamo a tua disposizione per verificare gratuitamente e velocemente se il tuo sito è vulnerabile per queste criticità segnalate.

Nel caso lo fosse possiamo intervenire con assistenza web dedicata e professionale.

Sara Bargis
Sara Bargis
Articoli: 24