Tel: 011. 58 06 034 | E-Mail: info@ne-ws.it | Contatti
plugin revolution slider

Panama Papers: quando non aggiornare WordPress ti può costare caro

La Web Agency a Torino e Milano specializzata da 20 anni in soluzioni e-Commerce Magento, Consulenza SEO, Digital Marketing e Realizzazione Siti Web

plugin revolution slider

Panama Papers: quando non aggiornare WordPress ti può costare caro

Tutti coloro che lavorano nel web utilizzando piattaforme come WordPress o Magento non fanno che ripetere che la sicurezza informatica é un problema di primo piano, a cui devono essere costantemente dedicate risorse.

Tutti concordano su questo.

Eppure ogni giorno non si fa altro che parlare di virus, di siti violati, di furto di dati sensibili.

In questo articolo vediamo come il mancato aggiornamento della più semplice delle piattaforme per gestire siti web, WordPress, abbia scatenato il più grande scandalo informatico dai tempi di Wikileaks.

Mossack Fonseca (MF), è lo studio legale panamense al centro dello scandalo denominato Panama Papers. Sembra ormai accertato che l’hackeraggio dei dati che ha coinvolto personaggi pubblici come il primo ministro d’Islanda, il presidente russo Putin e il primo ministro britannico David Cameron, è stato possibile a causa di una versione non aggiornata (e quindi vulnerabile) di uno dei plugin, Revolution Slider, più utilizzati su WordPress.

Possibile ? La più grande fuga di notizie nella storia della finanza globale, pari a ben 2,6 terabyte (oltre 11,5 milioni di documenti), per un plugin non aggiornato?
Possibile!

A dichiararlo sarebbe Mark Maunder, il secondo il fondatore e ceo di WordPress, e Forbes che spiegano come lo studio legale Mossack Fonseca permettesse ai propri clienti l’accesso ai dati tramite un portale web, utilizzando delle versioni datate di Drupal e WordPress e dei loro relativi plugin. Da un lato l’indirizzo pubblico (www.mossfon.com), dall’altro quello riservato ai clienti ( portal.mossfon.com).
Fino a pochi giorni fa sul sito dello studio legale era possibile leggere quanto segue:

‘The MF website runs WordPress and is currently running a version of Revolution Slider that is vulnerable to attack and will grant a remote attacker a shell on the web server. ‘

La versione attiva del plugin Revolution Slider sembra esser stata la 2.1.7.

plugin revolution slider

A questo dobbiamo anche aggiungere che fino a un mese fa, come si legge nel blog di Wordfence, il server di Mossack Fonseca non usava un firewall e si trovava sulla stessa rete del server di posta elettronica con sede a Panama (la Cable Onda). Questo ovviamente fino al 4 aprile, poche ore dopo la pubblicazione sui giornali di 70 Paesi delle informazioni sulle attività illegali di conti e società off shore.

Sintetizzando l’analisi tecnica realizzata da Mark Maunder sulla violazione dei dati Panama Papers Breach, emerge che:

– Mossack Fonseca utilizzava e utilizza ancora uno dei plugin più vulnerabili di WordPress, Revolution Slider
– Il loro web server non era protetto da un firewall – Il loro server stava sullo stesso network del server di posta elettronica di Panama
– Lo studio legale si occupava dei dati sensibili dei clienti tramite il loro portale web che include un account di accesso a tutti questi dati

In un video demo Mark Maunder ha realizzato una precisa analisi della vulnerabilità e della situazione sulla sicurezza della Mossack Fonseca, riproducendo un ambiente simile a quello di MF e illustrando come sia possibile sfruttare tale debolezza.
 
Cosa insegna questa vicenda ?

  • Evitare di conservare dati sensibili o finanziari su piattaforme open source standard come wordpress aperte al pubblico.
  • Evitare di conservare dati sensibili o finanziari su siti localizzati nella stessa rete della posta elettronica
  • Mettere off-line i dati storici ed eventualmente renderli disponibili su richiesta espressa del cliente
  • Verificare, in caso si gestiscano dati così delicati, se il server é sufficientemente protetto e se é in condivisione con altri siti (che potrebbero attirare l’attenzione degli hacker)
  • Aggiornare le piattaforme wordpress non appena vengono rilasciate le nuove versioni dei plugin l’aggiornamento é un servizio fondamentale nei siti web che realizziamo)
  • Installare plugin dedicati alla sicurezza di WordPress come Wordfence

Il nostro sito utilizza i cookie e quindi raccoglie informazioni sulla tua visita per migliorarlo, mostrarti i contenuti dei social media e annunci pertinenti. Controlla la nostra pagina Cookie Policy per ulteriori dettagli o acconsenti al trattamento tramite il bottone 'Accetta'.

Cookie settings

Below you can choose which kind of cookies you allow on this website. Click on the "Save cookie settings" button to apply your choice.

FunctionalOur website uses functional cookies. These cookies are necessary to let our website work.

AnalyticalOur website uses analytical cookies to make it possible to analyze our website and optimize for the purpose of a.o. the usability.

Social mediaOur website places social media cookies to show you 3rd party content like YouTube and FaceBook. These cookies may track your personal data.

AdvertisingOur website places advertising cookies to show you 3rd party advertisements based on your interests. These cookies may track your personal data.

OtherOur website places 3rd party cookies from other 3rd party services which aren't Analytical, Social media or Advertising.