Gli esperti del Digital marketing

Potenzia il tuo business online con Monkey Digital SEO: sfrutta al massimo il potenziale del marketing strategico digitale.

Vulnerabilità in WordPress Il plug-in di Google Analytics raggiunge +3 milioni di siti web

Vulnerabilità in WordPress Il plug-in di Google Analytics raggiunge +3 milioni di siti web

Il National Vulnerability Database ha annunciato che un popolare plug-in WordPress di Google Analytics installato in oltre 3 milioni è stato scoperto contenere una vulnerabilità Stored Cross-Site Scripting (XSS).

XSS memorizzato

Un attacco Cross-Site Scripting (XSS) generalmente si verifica quando una parte del sito Web che accetta l'input dell'utente non è sicura e consente input imprevisti, come script o collegamenti.

La vulnerabilità XSS può essere sfruttata per ottenere l'accesso non autorizzato a un sito Web e può portare al furto dei dati dell'utente o all'acquisizione completa del sito.

L'Open Worldwide Application Security Project (OWASP) senza scopo di lucro descrive come funziona la vulnerabilità XSS:

“Un utente malintenzionato può utilizzare XSS per inviare uno script dannoso a un utente ignaro. Il browser dell'utente finale non ha modo di sapere che lo script non dovrebbe essere attendibile e lo eseguirà.

Poiché ritiene che lo script provenga da una fonte attendibile, lo script dannoso può accedere a qualsiasi cookie, token di sessione o altre informazioni sensibili conservate dal browser e utilizzate con quel sito.

Un XSS memorizzato, probabilmente peggiore, è quello in cui lo script dannoso è memorizzato sui server del sito Web stesso.

È stato scoperto che il plug-in, MonsterInsights – Google Analytics Dashboard per WordPress, conteneva la versione XSS memorizzata della vulnerabilità.

MonsterInsights – Dashboard di Google Analytics per la vulnerabilità di WordPress

Il plug-in MonsterInsights Google Analytics è installato in oltre tre milioni di siti Web, il che rende questa vulnerabilità più preoccupante.

La società di sicurezza di WordPress, Patchstack, che ha scoperto la vulnerabilità, ha pubblicato i dettagli:

“Rafie Muhammad (Patchstack) ha scoperto e segnalato questa vulnerabilità Cross Site Scripting (XSS) in WordPress Google Analytics di MonsterInsights Plugin.

Ciò potrebbe consentire a un attore malintenzionato di inserire script dannosi, come reindirizzamenti, pubblicità e altri payload HTML nel tuo sito Web che verranno eseguiti quando gli ospiti visitano il tuo sito.

Questa vulnerabilità è stata corretta nella versione 8.14.1.”

Il registro delle modifiche del plug-in MonsterInsights sul repository dei plug-in di WordPress ha offerto una spiegazione alquanto vaga della patch di sicurezza:

"Risolto: abbiamo corretto un errore di avviso PHP e aggiunto un ulteriore rafforzamento della sicurezza."

Un "rafforzamento della sicurezza" è un termine che può essere applicato a molte attività relative alla riduzione dei vettori di attacco, come la rimozione del numero di versione.

WordPress ha pubblicato un'intera pagina sul rafforzamento della sicurezza che consiglia attività di rafforzamento della sicurezza come backup regolari del database, ottenere temi e plug-in da fonti attendibili e utilizzare password complesse.

Tutte queste attività rafforzano la sicurezza.

Ecco perché l'uso della frase "security hardening" è un termine generale e generico da utilizzare per qualcosa di specifico (e importante) come l'applicazione di patch a una vulnerabilità di sicurezza XSS, che potrebbe indurre un utente a saltare l'aggiornamento del proprio plug-in.

Azione raccomandata

Patchstack consiglia a tutti gli utenti del plug-in MonsterInsights Analytics di aggiornare immediatamente il proprio plug-in WordPress all'ultima versione o almeno alla versione 8.14.1.

Leggi l'annuncio del database nazionale delle vulnerabilità degli Stati Uniti:

CVE-2023-23999 Dettaglio

Leggi l'annuncio di Patchstack:

WordPress Google Analytics by MonsterInsights Plugin <= 8.14.0 è vulnerabile al Cross Site Scripting (XSS)

Le Critiche Crescenti Contro Google
Scoprire lo Sviluppo Web: La Programmazione come Arte
Scopri i Top Podcast SEO del 2024 e Mantieniti Aggiornato
Il ruolo delle finestre di dialogo nella progettazione di un'interfaccia utente web
Guida all'Integrazione di ChatGPT sul Tuo Sito Web
Utilizzo efficace di ChatGPT per la ricerca di parole chiave
Automatizzare le Campagne PPC con l'Intelligenza Artificiale Generativa
Aggiungere Coinvolgimento al tuo Sito con uno Sfondo Video CSS
Importanza delle Pagine di Destinazione per la Generazione di Lead e Incremento delle Vendite
Link Building

Link Building come parte della tua strategia di marketing può portare a risultati rivoluzionari. Seowebsite è specializzato nel Link Building e aiuta gli imprenditori a realizzare un forte profilo di link che contribuisce alla crescita online. Possiamo supportarvi anche in questo?