Yuzo Related Posts crea diversi problemi ai siti WordPress

Yuzo Related Posts crea diversi problemi ai siti WordPress

Il plugin Yuzo Related Posts, utilizzato per far apparire nel proprio sito gli articoli correlati a fine pagina, è stato ufficialmente rimosso dal repository ufficiale per via di una falla scoperta e pubblicata prima che il plugin fosse corretto. Il 30 marzo di quest’anno, infatti, oltre 60.000 siti web si sono esposti ad una vulnerabilità di cross-side scripting (XSS), e sfruttando uno script automatico si riusciva a defacciare i siti con la versione del plugin installato.

La falla è legata ad un utilizzo inadeguato della funzione is_admin(), già protagonista di bug in passato all’interno di WordPress.

Che vuol dire sito defacciato

Un sito defacciato riporta una pagina, come la home page ad esempio, che punta ad un contenuto diverso da quello originale: nel caso specifico, aprendo il sito infetto senza essere loggati in WordPress, gli utenti vedevano un redirect multiplo a pagine di spam invasive per l’utente, con popup e messaggi pubblicitari tradotti in italiano. Proseguendo nella navigazione, si finisce in un sito di news in inglese.

Che tipo di attacco informatico è

Non è la prima volta che vediamo un attacco XSS su larga scala, e in effetti sono gli attacchi più pericolosi e subdoli; nel caso in esame, ad esempio, era anche difficile accorgersi del problema perchè il redirect funzionava soltanto se si entrava nel sito non loggati.

Nei siti sui quali ho lavorato e fatto manutenzione la scorsa settimana, in particolare, l’attacco si manifestava in un redirect multiplo ad una pagina spam, sulla home page del sito e senza essere loggati (da loggati il malware non scatta, come accennato). Google potrebbe, in teoria, penalizzare siti del genere per malware, ma per quello che ho visto intervenendo immediatamente il rischio si può scongiurare. Al momento – in attesa di un aggiornamento che corregga la falla – è opportuno rimuovere il plugin Yuzo Related Posts su ogni sito, pertanto, e sostituirlo con uno equivalente per i related posts.

Come risolvere il problema

I siti infetti possono risolvere effettuando la procedura standard per gli hacked websites riportata nel sito ufficiale di WP. Chiunque avesse questo plugin nel proprio sito web è invitato caldamente a cancellarlo, e ad utilizzare una delle alternative disponibili al link nel paragrafo precedente.

Wordfence, peraltro, ha polemizzato apertamente con la politica di pubblicazione delle falle, in questo caso una 0-day (appena scoperta, in sostanza) di cui chiunque era a conoscenza; al tempo stesso, pero’, forse bisognerebbe considerare che il contrario è anche peggio – se una falla 0-day non viene resa pubblica finisce quasi sempre nel mercato nero del settore, dove genera un mercato di diverse migliaia di euro e dove, anche per molti anni, nessuno potrebbe saperne nulla.

(fonte)

Pubblicità:

Informazioni sull'autore

Salvatore Capolupo

Consulente SEO, ingegnere informatico e fondatore di Trovalost.it, Pagare.online, Lipercubo.it e tanti altri. Di solito passo inosservato e non ne approfitto.
Ti piace questo articolo?

1 voto

Su Trovalost.it puntiamo sulla qualità dei contenuti da quando siamo nati: la tua sincera valutazione può aiutarci a migliorare ogni giorno.

Yuzo Related Posts crea diversi problemi ai siti WordPress

Votato 10 / 10, da 1 utenti