skip to Main Content
BUG WORDPRESS IL PLUGIN CHE METTE A RISCHIO

BUG WORDPRESS IL PLUGIN CHE METTE A RISCHIO

In questo breve articolo vi descriviamo un bug wordpress recentemente scoperto del plugin Theme Grill Demo Importer.

Come ben sappiamo WordPress lo si può installare con semplicità sui piani hosting Hualma, utile in primis per l’elevata capacità di utilizzo nella creazione di siti web.

WordPress risulta essere piuttosto contestabile, per cui bisogna salvaguardare la sicurezza di tali siti. Ma in che modo? Il primo passo è quello di mantenere i plugin costantemente in aggiornamento, bisogna poi disattivare quelli che vengono considerati altamente rischiosi ed eliminarle quindi quelli che non vengono più utilizzati poiché non curati nel modo giusto.

Una notizia importante è che il 6 Febbraio si è scoperto che Theme Grill Demo Importer (installato da più di 200.000 utenze), risulta uno dei plugin più utilizzati, ma che ahimè si è rivelato piuttosto vulnerabile.

Theme Grill Demo Importer è ottimale in WordPress per la creazione e l’impostazione dei temi marchiati Theme Grill, in modo da riuscire ad ottenere siti già pronti da personalizzare. Ma nella versione che va dalla 1.3.4 alla 1.6.1 si è scoperto che tale plugin contiene un bug, che permette ad utenti non specializzati e non riconosciuti di accedere ai database dei siti WordPress, resettandoli e avendo poi la possibilità di accedervi come amministratori, godendo anche di particolari benefici.

Dopo “l’attacco”, Theme Grill ha cercato di risolvere il tutto attraverso un aggiornamento del plugin (pubblicato il 16 Febbraio) che ha definitivamente rimosso il bug.

La nuova versione è quella 1.6.2, e visto che parecchie utenze godono di Theme Grill è bene aggiornarlo subito se non dirittura cancellarlo. Un sito web attaccato dal bug, con pericolo di scomparsa, dovrà fare accesso alle impostazioni di default è ripristinare il database attraverso il backup.

 

MA COS’È IL BUG DI THEME GRILL DEMO IMPORTER?

Avendo appreso le principali info sul bug Theme Grill, bisogna ora individuarlo e capire in cosa consiste.

Anzitutto è necessario che oltre al plugin ci sia un tema di Theme Grill attivo ed installarlo su WordPress, invece l’accesso da amministratore richiede una particolare utenza nel database denominata “admin”.

Individuato poi tale tema attivo, tutte le versioni precedenti alla 1.6.2 caricano il file /includes/class-demo-importer.php che richiama reset_wizard_actions all’interno di admin_init sulla riga 44.

Questa apertura consente il recupero dell’utenza “admin” da WordPress per poi eliminare le tabelle contenenti il prefisso wp. Successivamente a questo passaggio, c’è l’inserimento dei dati di default e delle impostazioni nel database, consentendo l’accesso come “admin”.

Potrebbe capitare che la voce “admin” non risulti riconosciuta nel database, e in questo caso basta lasciaree tabelle semplicemente vuote procedendo con il login automatico

 

PROVA I NOSTRI SERVIZI

DOMINI-HOSTING-CMS-VPS-DEDICATI HUALMA