Un bug di un plugin di Wordpress mette a rischio un milione di siti
La falla è stata rilevata in un plugin molto conosciuto e usato su Wordpress - NextGEN - e che serve per creare gallery di immagini
La popolarità di WordPress è in gran parte dovuto all’enorme disponibilità di plugin che ne estendono le funzionalità. Non a caso, è il Il CMS (Content Management System) più usato al mondo con una fetta di mercato di oltre il 20%.
I Content Management System sono applicazioni Web – di solito sviluppate in PHP o ASP – che consentono anche a chi non è un programmatore esperto di realizzare siti, anche complessi come,quelli di e-commerce, usando dei template da configurare. Il bug scoperto in NextGEN, secondo l’esperto di sicurezza Slavco Mihajloski di Sucuri, è «un problema critico». Un hacker che si imbattesse in un sito con una versione vulnerabile di questo plugin potrebbe eseguire una SQL Injection ed entrare in possesso di informazioni riservate – come password e indirizzi email – archiviate conservate nel database del CMS. Molti siti, purtroppo, non hanno ancora aggiornato NextGEN.
Come risolvere bug WordPress
Per comprendere meglio la pericolosità di questa falla in NextGEN, bisogna fare un passo indietro. WordPress è un CMS che si basa su un database SQL creato su un server MySQL. La pericolosità nasce dal fatto che tutte le informazioni del sito sono salvate in questo database. Proprio tutte. Non solo testi, struttura delle pagine, interfaccia grafica, immagini e altri file, con i relativi URL, ma soprattutto, i dati sugli utenti, i commenti e le password di accesso, inclusa quelle dell’amministratore. La protezione del database SQL, quindi, è di importanza vitale. Se un malintenzionato, con le conoscenze necessarie, riuscisse a violare il "cuore" del sito, avrebbe il controllo su tutto. Senza entrare in dettagli troppo tecnici, questa "porta" di accesso è fornita proprio dalla vulnerabilità del plugin NextGEN che è stato corretto e va aggiornato il più presto possibile.
Come difendersi dagli attacchi hacker
Cliccando sui link che seguono, invece, potrete scoprire suggerimenti, alcuni più tecnici altri più alla portata di tutti, riguardanti la sicurezza informatica e scoprire le tipologie di attacchi più comuni: dagli attacchi DDoS al phishing, passando per le botnet.
- Dai cyber terroristi ai White hat hacker, ecco chi sono e cosa fanno
- Proteggere la privacy e dati personali, i consigli dell’esperto
- Sei consigli per mettere al sicuro la vostra piccola o media impresa
- Dieci consigli per non cadere nella trappola di una e-mail phishing
- Come proteggere la tua mail con Password Sicura: cos’è e come funziona
- Salvarsi dagli hacker: 5 errori da non commettere
- Allarme virus, trojan e ransomware, la guida per difendersi
- Cosa sono i ransomware e come si diffonde il contagio
- Pericolo ransomware: come difendersi con buone pratiche e antivirus
- Dilemma ransomware: è possibile fermare il "virus del riscatto"?
- Attacco ransomware: piccole e medie imprese in pericolo
- Cosa sono gli attacchi DDoS, come nascono e come difendersi
- Cos’è il phishing? Una pericolosa truffa: ecco come non abboccare
- Privacy online: ecco come salvaguardare i nostri dati personali
- Come creare una password forte per proteggere l’identità online
- Addio ai furti di password, ecco la verifica in due passaggi
- I migliori password manager per mettere al sicuro i propri dati
