HAI BISOGNO DI INFORMAZIONI?
+39 06452216038
LIVE SUPPORT
Parla con un operatore

Hosting Per Te - HelpDesk

LIVE SUPPORT
Parla con un operatore
 
 Categorie Notizie
(19)Domini (4)dominio (60)Blog (83)Sicurezza (72)Wordpress (1)Cross-Site (3)vulnerabilità (15)wordpress (1)zero day (11)sicurezza (1)sitelock (32)News (2)google (1)indicizzazione (1)mobilegeddon (11)seo (26)Hosting (6)hosting (1)multi (1)reseller (1)rivenditore (1)provider (27)Email (40)Server (4)email (2)imap (1)imapsync (2)migrazione (1)posta (2)affiliazione (2)guadagnare (88)Ecommerce (4)e-commerce (2)ecommerce (4)VPN (1)wi-fi (2)backup (3)server (37)marketing (2)ppc (1)search-engine-optimization (1)seo pay-per-click (1)domini (2)gTLD (2)IP (1)IP-condiviso (1)IP-dedicato (2)cloud (1)virtuale (4)vps (22)Blogging (4)blog (2)blogging (51)CMS (5)cms (1)sito di successo (1)campagne e-mail (1)criptare dati (4)ssl (1)plugin e-commerce (1)newsletter (1)rivenditori (1)server vps smtp (1)SMTP (1)design responsivo (1)responsive design (1)responsive web design (2)hacking (5)malware (1)phishing (1)server upgrade (2)prestashop (3)campagna e-mail (3)e-mail marketing (1)contenuti sito (1)struttura pagina web (1)call-to-action (1)promozione sito (1)ottimizzare sito (1)cookie law (1)psicologia web design (1)vendita siti (1)website flipping (1)titolo (1)alternativa google analytics (2)monitoraggio (1)keyword (1)programmazione (1)facebook marketing (1)colori (2)clienti (1)privacy whois (1)crimini informatici (1)Cyber crime (1)search console di google (1)supporto managed (1)hacker (1)copyright (1)referrer spam (1)Split testing A/B (1)freelance (4)magento (2)Linux (3)Windows (1)upgrade piani hosting (1)Google SpeedTest (1)landing page (1)seo friendly (1)struttura link (1)errori wordpress (2)psicologia dei prezzi (2)metodi di pagamento (1)effetti sonori (3)APP (1)webmaster (1)fatturazione elettronica (1)sito web (1)backup wordpress (1)fan facebook (1)Exchange ActiveSync (1)POP3 (1)firma e-mail (1)web agency (1)ergonomia (1)editor (3)adwords (1)quality score (1)errori ecommerce (29)startup e business (1)errori azienda (1)sql injection (1)monetizzare (1)regole successo (1)nameserver (2)mailing list (2)responsive email (4)pec (3)bootstrap (1)Bing (1)Bing Ads (1)Foundation (4)framework (1)statistiche mobile (1)adwords per mobile (1)about page (1)chi siamo (1)seo vs ppc (1)errori webmaster principianti (25)SEO (1)PDF e SEO (1)ottimizzare pdf (77)strumenti (1)relazionarsi con i clienti (1)FAQ (1)tld srl (1)traffico (1)keywords (1)parole chiave (1)trend estero (5)statistiche (1)K.I.S.S. (1)plugin sicurezza wordpress (3)certificato ssl (1)template (1)black hat (1)Creative Common Zero (1)blog ecommerce (1)Google Smart Goals (2)web design (1)facebook ads (1)SFTP (1)FTP (2).htaccess (1)statistiche e-commerce (1)url brevi (2)cloud computing (1)HDD (1)grafici (1)librerie js (2)antivirus (1)framework css (1)Google Panda (2)Internet of Things (2)ransomware (1)TeslaCrypt (2)tecnologia (1)telelavoro (1)mobile friendly (1)proxy (2)cryptolocker (1)Processore AMD (1)rapporto clusit 2016 (2)truffe online (1)plugin monitoraggio (2)bug linux (1)ranking tools (1)social network (1)deep web (1)tor (1)plugin sottoscrizioni (1)link building (3)plugin wordpress (1)design (1)siti di successo (1)ottimizzare immagini (2)widget (1)sito monopagina (1)VPS Economici (1)trend del marketing (1)realtà aumentata (1)ip dinamico (1)progettazione sito (1)Redirect 301 e 302 (1)notifiche push (1)velocità sito (1)ottimizzazione contenuti (1)guadagnare con un blog (1)costi e-commerce (1)social media (1)frode amichevole (1)e-commerce wordpress (4)drupal (4)joomla (1)travel blog (4)php (1)chargeback (1)e-mail (1)plug-in video wordpress (1)sito sportivo (1)plug-in seo (1)drupal vs magento (1)portfolio (1)plug-in portfolio (1)sottodomini di terzo livello (1)sicurezza e-commerce (1)pubblicità su facebook (1)visualizza numero utenti (1)affiliate marketing (1)cartella nascosta android (1)creare app (2)Infiniband (1)Intel LGA 3647 (1)furto di dati sensibili (1)marketing diretto (1)record DNS (2)ddos (1)Mobile shopping (1)Malware su Skype (1)virus (1)youtube (1)seo immagini (1)web marketing (1)vendita online (1)food blogger (1)Plesk Onyx (1)Bug Fedora ed Ubuntu (1)Micro SSD (1)IoT (1)Chip Kaby Lake (1)primo e-commerce (1)blog di fitness (3)plug-in WordPress (1)SPF e DKIM (1)Cyber sicurezza (1)file robots.txt (1)AMD Naples (1)Vulnerabilità REST API WordPress (1)trasferimento da Blogger a WordPress (1)plug-in WordPress per musicisti (1)Crittazione (2)CPU (1)Legge antibufale (1)Strumenti di marketing (1)CPU AMD (1)nda (2)Let's Encrypt (1)Hosting Linux o Windows (1)progress bar (1)blog di cucina (1)PrestaShop oppure WooCommerce (1)carte di credito (1)librerie javascript (1)DDR5 (1)plugin monetizzazione (1)Wireless (2)drag and drop (1)web server (1)Curricula digitali (1)name server (2)Autenticazione a due fattori (1)Trend Tech (1)business online (1)Keylogger (1)infopreneur (1)E-book (1)WanaKiwi (1)file LNK (1)hub (1)router (1)switch (1)pdf (1)hosting provider gratuito (1)Shopify (1)Usabilità web (2)temi (1)confronto file (1)quiz (1)mockup (1)hosting provider (2)chat (1)ristoranti (1)database (1)spam (1)tool (1)Javascript (1)automazione (1)forum (1)compressione (2)webserver (1)Caching (1)video (1)Normative (1)Collaborazione (1)unicorn (2)robots.txt (1)funnel (1)redirect (1)Markdown (2)Google Tag Manager (1)apache (1)Ajax (1)wamp (1)xampp (1)browser (1)OSCommerce (1)Blockchain (1)sottodominio (1)sviluppo Web (1)Moduli (1)TLD (1)Google Analytics (5)plugin (1)e-mail professionale (1)amazon (1)cache (1)multilingua (1)traduzioni (1)Bitcoin (1)script (2)CSS (1)exFAT (1)FAT32 (1)tabelle (1)Mobile App (1)Web App (1)codici a barre (1)multisito (1)google script (1)node.js (1)Download Manager (1)smtp. newsletter (1)cpanel (2)plesk (1)wildcard (1)elementor (1)obsidian (1)mail (1)andràtuttobene (1)solidarietàdigitale (1)xss (1)trasferimento
Feed RSS
Notizie
mag
12

Migliaia di plugin WordPress sono stati colpiti da una serie di vulnerabilità di cross-site scripting (XSS) che potrebbero dare agli hacker il controllo completo dei siti.

Uno dei plugin interessati è stato progettato per funzionare con il popolare sistema di e-commerce WordPress WooCommerce.

WordPress Flexible Checkout Fields

I ricercatori di NinTechNet hanno riscontrato una vulnerabilità nel plug-in WordPress Flexible Checkout Fields per WooCommerce, che fornisce al sistema di e-commerce WordPress la possibilità di configurare campi di checkout personalizzati utilizzando una semplice interfaccia utente.

La vulnerabilità ha consentito agli hacker di aggiungere due campi personalizzati nelle sezioni Fatturazione e Spedizione di una pagina WooCommerce.

Una volta iniettato lo script, è posssibile creare quattro nuovi account amministrativi utilizzando indirizzi e-mail predefiniti.

Un amministratore del sito dovrebbe visitare la schermata di configurazione del plug-in o la pagina di checkout per configurare questi account.

A questo punto, il sito infetto scarica un file zip e lo memorizza nella sezione upload del sito, estraendo pagine PHP e installandole nella sezione plugin come per esempio Woo-Add-To-Carts.

Wordfence ha valutato questa vulnerabilità come critica.

Ha aggiunto che l’exploit è stato reso possibile a causa di una problematica di tipo XSS delle pagine a cui l’amministratore aveva accesso.

Il sito non verifica l’autenticazione di updateSettingsAction, una funzione collegata a admin_init, il quale ha un codice che viene eseguito ogni volta che viene caricata una pagina di amministrazione.

Per questo motivo, attraverso una serie di impostazioni, gli hacker possono iniettare payload JavaScript negli elementi che vengono visualizzati sullo schermo.

Wordfence ha scoperto diverse altre vulnerabilità del plugin WordPress.

10Web Map Builder

L’altro bug abbastanza grave da far ottenere una valutazione critica è sorta su 10Web Map Builder per Google Maps.

Molto simile al bug precedente perché consente a un hacker di inserire JavaScript nei valori delle impostazioni che vengono quindi chiamati come admin_init.

Come la prima vulenerabilità, viene eseguito su pagine che non richiedono autenticazione ma funziona anche per alcuni visitatori front-of-site.

JavaScript Async

Altri due bug hanno ottenuto un elevato livello di gravità.

Il primo era nel plugin , che accelera i tempi di caricamento della pagina bloccando JavaScript ritardando il rendering della pagina.

Ha consentito agli hacker di iniettare JavaScript dannosi che si sono attivati quando gli amministratori hanno visualizzato determinate aree della dashboard.

Modern Events Calendar Lite

L’ultimo bug riguardava il plug-in Modern Events Calendar Lite, che aiuta nella pianificazione degli eventi.

Questo plugin utilizza diverse azioni per gli utenti che hanno effettuato l’accesso con “privilegi bassi” che manipolano i dati delle impostazioni.

E’ stato iniettato un codice XSS per la creazione di account ed è stato anche possibile colpire la front page di un sito interessato per influenzare i visitatori.

Questi difetti sono stati tutti corretti, ma tutti hanno interessato plugin molto utilizzati.

WordPress Flexible Checkout Fields e 10Web Map Builder hanno ciascuno oltre 20.000 utenti attivi, mentre Modern Events Calendar Lite ne ha oltre 40.000 e Async JavaScript oltre 100.000.

In alcuni casi, gli utenti hanno segnalato siti compromessi.

Chiunque utilizzi questi plug-in dovrebbe aggiornare immediatamentei plugin utilizzando le patch di sicurezza messe a disposizione dagli sviluppatori.

Se vuoi avere maggiori informazioni a riguardo o vuoi sapere come poterti proteggere da eventuali attacchi del tuo CMS, l’assistenza di HostingPerTe è disponibile a fornire il supporto di cui necessiti.

Contatta il nostro supporto tecnico all’indirizzo mail o al numero +3906452216038, troverai un team di esperti in grado di rispondere ad ogni tua esigenza





Hosting Per Te
© 2015 - ARMADA
Partita IVA 00873530943
REA IS-38469
Tel +39 06452216038
Fax +39 0689280222
Il tuo IP: 3.228.10.17
Hosting Per Te Facebook   Hosting Per Te Twitter   Hosting Per Te Blog
ARMADA
Chiedi ad un nostro Operatore