Problema sicurezza plugin Slider Revolution
Avviso urgente per utenti WordPress e Slider Revolution
La notizia è di grande importanza per tutti gli utilizzatori del plugin Slider Revolution per il proprio sito web.
Il plugin Slider Revolution è uno dei plugin commerciali più popolari e venduto su CodeCanyon, un ramo di EnvatoMarket, oltre a poterlo acquistare/installarlo, lo si può trovare già integrato in molti temi commerciali wordpress, proprio questo potrebbe essere uno dei problemi all’aggiornamento dello stesso plugin, in quanto se il tema non predispone di un avviso di aggiornamento e non vi fornisce la possibilità di aggiornare il plugin in modo automatico, dovreste aver bisogno di aggiornare il tema stesso, e comunque avere indicazioni e notizie in merito da parte degli sviluppatori dello stesso.
Il bug presente nella versione di Slider Revolution, a quanto sembra dalla versione 4.2 e meno recenti, fornisce la possibilità agli attacanti di prelevare in modo semplice ogni file .php dell’installazione del sito wordpress, potendo prelevare anche il file wp-config.php ( file di configurazione del vostro wordpress ) in modo semplice, e avendo cosi a disposizione i dati sensibili e in chiaro di connessione al database wordpress utilizzato.
La notizia dell’insicurezza del plugin è stata diffusa velocemente sul web e voci autorevoli in materia di sicurezza come Sucuri.net e il loro team di sicurezza hanno rilasciato una comunicazione ufficiale che potete visualizzare sul loro sito web
http://blog.sucuri.net/2014/09/slider-revolution-plugin-critical-vulnerability-being-exploited.html
Il consiglio che vi diamo è quello di aggiornare ( dove possibile ) il plugin Slider Revolution alla ultima versione disponibile, nel caso abbiate acquistato un tema wordpress con il plugin integrato, v’invitiamo a chiedere supporto o informazioni agli sviluppatori dello stesso.
Per favi capire meglio l’elevato problema d’insicurezza e di possibilità di hackeraggio, vi riportiamo anche quanto affermato dall MS-ISAC un’importante cyber advisory
OVERVIEW:
A vulnerability has been discovered in Slider Revolution Responsive plugin for WordPress CMS which could allow an attacker download arbitrary files. Slider Revolution Responsive is a plugin for WordPress content management application, which allows for image transition effects, an image preloader, video embedding, user interaction, etc. Successful exploitation of this vulnerability may allow an attacker to download arbitrary files from the Web server and obtain potentially sensitive information.
[ fonte qui ]
Di seguito una lista iniziale dei temi wordpress più commercializzati che presentan, alla loro versione attuale, tale problematica di sicurezza
# WordPress IncredibleWP Theme Arbitrary File Download
# Vendor Homepage: http://freelancewp.com/wordpress-theme/incredible-wp
# Google Dork: "Index of" +/wp-content/themes/IncredibleWP
# WordPress Ultimatum Theme Arbitrary File Download
# Vendor Homepage: http://ultimatumtheme.com/ultimatum-themes/s
# Google Dork: "Index of" +/wp-content/themes/ultimatum
# WordPress Medicate Theme Arbitrary File Download
# Vendor Homepage: http://themeforest.net/item/medicate-responsive-medical-and-health-theme/3707916
# Google Dork: "Index of" +/wp-content/themes/medicate
# WordPress Centum Theme Arbitrary File Download
# Vendor Homepage: http://themeforest.net/item/centum-responsive-wordpress-theme/3216603
# Google Dork: "Index of" +/wp-content/themes/Centum
# WordPress Avada Theme Arbitrary File Download
# Vendor Homepage: http://themeforest.net/item/avada-responsive-multipurpose-theme/2833226
# Google Dork: "Index of" +/wp-content/themes/Avada
# WordPress Striking Theme & E-Commerce Arbitrary File Download
# Vendor Homepage: http://themeforest.net/item/striking-multiflex-ecommerce-responsive-wp-theme/128763
# Google Dork: "Index of" +/wp-content/themes/striking_r
# WordPress Beach Apollo Arbitrary File Download
# Vendor Homepage: http://www.authenticthemes.com/theme/apollo
# Google Dork: "Index of" +/wp-content/themes/beach_apollo
[ fonte qui ]
Aggiornate i vostri plugin e se avete il plugin integrato nei vostri temi, chiedete come intervenire agli sviluppatori dello stesso in modo da prevenire qualsiasi tipo di problema d’insicurezza.
