Grave vulnerabilità sul Plugin GDPR Compliance di Wordpress

Vulnerabilità GDPR Compliance di Wordpress

La vulnerabilità è presente in tutte le versioni del plugin sino alla 1.4.2 compresa.

Si tratta di un problema molto recente, i primi attacchi sono stati registrati all'inizio del mese di Novembre 2018.

Il plugin WP-GDPR-Compliance interagisce con il core di Wordpress attraverso admin-ajax.php per eseguire le proprie funzioni. Sulle versioni affette dalla vulnerabilità è stato riscontrato un problema relativamente alle operazioni di aggiornamento impostazioni del plugin stesso.

L'errore di programmazione consente all'attaccante di inserire ed eseguire comandi nel database di Wordpress

Sfruttamento della vulnerabilità

L'attacco viene eseguito in due fasi: inserimento del valore/stringa nel database e sua esecuzione attraverso una chiamata do_action() per poter quindi eseguire, potenzialmente, qualsiasi azione. La vulnerabilità rientra nella categoria privilege escalation ed è estremamente insidiosa.

L'attaccante sfrutta la falla per creare sul sistema un utente con permessi di amministratore. Successivamente alla creazione dell'utente, viene richiamato l'URL /wp-login.php?action=register al fine di ottenere accesso amministrativo all'installazione di Wordpress. Tecnicamente, a questo punto, all'attaccante è permessa qualsiasi operazione sul sito, come ad esempio il caricamento di file, temi e plugin manomessi o l'esecuzione di mass injection sui file originali di Wordpress e garantirsi il controllo attraverso delle shell remote.

Al momento è stato rilevato uno schema di attacco volto alla creazione di un utente con il nome t2trollherten e la modifica del campo siteurl nella tabella wp_options con conseguente ripuntamento del sito verso un diverso indirizzo.

Appare evidente l'importanza di intervenire immediatamente aggiornando la propria installazione di Wordpress compresi i temi e tutti i plugin.

Sarà anche necessario cancellare utenti eventualmente creati a seguito dell'attacco e reimpostare le proprie credenziali di accesso avendo l'accortezza di utilizzare sempre password complesse.

Tutti i nostri piani di Hosting Wordpress Gestito, Hosting Wordpress, tutte le Soluzioni Cloud Gestite ed i Cloud VPS Managed permettono di automatizzare il processo di aggiornamento di Wordpress e di tutti i suoi componenti.

Accertarsi quindi, dal proprio pannello Hosting Plesk, che la funzione di aggiornamento automatico di Wordpress sia abilitata.

Se il proprio sito Wordpress è stato attaccato, suggeriamo di contattare la nostra linea di Assistenza Tecnica che saprà fornire tutte le indicazioni necessarie alla risoluzione della problematica.

Disaster Recovery as a Service (DRaaS): La Nuova Frontiera della Business Continuity sotto la Direttiva NIS2

Nel 2026, la sicurezza informatica non è più un tema relegato esclusivamente alle sale server. È diventata una questione di governance, responsabilità legale e sopravvivenza sul mercato. Mentre molte aziende italiane si concentrano sulla difesa perimetrale per evitare intrusioni, spesso trascurano la domanda ...

Il tuo sito WordPress potrebbe essere vulnerabile. Anche se “sembra funzionare perfettamente”.

Molti attacchi non danno segnali immediati: lavorano in background, sfruttano vulnerabilità e colpiscono quando meno te lo aspetti.

La sicurezza non è qualcosa da sistemare dopo. È qualcosa da progettare prima.

Perché la sicurezza WordPress ...

Nel panorama IT moderno, la gestione manuale dei server non è più solo un’inefficienza: è un rischio sistemico. Configurare istanze via SSH una alla volta, installare pacchetti manualmente e gestire le patch "a memoria" espone l’azienda al Configuration Drift: quella divergenza silenziosa tra i server che rende le infrastrutture fragili, insicure e impossibili da scalare.

In Aziende Italia, promuoviamo ...