skip to Main Content

WordPress, scoperte falle su SEO – Rank Math e WPvivid Backup

WordPress, Scoperte Falle Su SEO – Rank Math E WPvivid Backup

Il CERT-PA: I plugin SEO – Rank Math e WPvivid Backup hanno vulnerabilità, aggiornateli immediatamente

Aggiornate subito i plugin SEO – Rank Math e WPvivid Backup di WordPress. Entrambi hanno una serie di vulnerabilità, che potrebbero permettere al cybercrime di lanciare attacchi con successo. E’ l’allarme lanciato dagli esperti di cyber security del CERT-PA. Il primo, installato in circa 200.000 siti web, è stato progettato per aiutare i loro proprietari ad attirare traffico sui loro siti. Ciò attraverso l’ottimizzazione dei motori di ricerca (SEO). Il secondo, invece, consente agli utenti di eseguire facilmente il backup, la migrazione e il ripristino delle installazioni di WordPress su nuovi host, o di inviare backup ad un archivio remoto. Si stima che sia installato su oltre 40.000 siti web. Per entrambi sono stati rilasciati aggiornamenti che risolvono i bug. I ricercatori consigliano quindi di installarli immediatamente.

Gli esperti di cyber security: Ecco cosa consentono le falle 

Secondo gli esperi di cyber security, la prima vulnerabilità critica di SEO – Rank Math è legata alla possibilità di effettuare escalation di privilegi. Questa è stata rilevata dal team Wordfence e risiede nelle chiamate REST API non protette. Un attacco del cybercrime potrebbe modificare i metadati del sito su WordPress. Ciò configurando utenti come admin o bloccando gli amministratori del sito. La seconda, invece, permetterebbe di generare re-indirizzamenti da quasi tutte le posizioni di un sito verso ogni destinazione. Il bug è stato riscontrato in uno dei moduli plug-in opzionali, destinato ad aiutare gli utenti a creare redirect sui loro siti Web WordPress. L’attacco potrebbe essere utilizzato per impedire l’accesso a tutti i contenuti esistenti di un sito (a eccezione della home page), reindirizzando i visitatori verso un sito dannoso. La falla su WPvivid Backup, infine, potrebbe essere sfruttata per ottenere tutti i file di un sito Web.

Back To Top