Now Reading: WordPress Sotto Attacco: la Vulnerabilità GiveWP Mette a Rischio i Tuoi Dati e la Carta di Credito nel 2025
-
01
WordPress Sotto Attacco: la Vulnerabilità GiveWP Mette a Rischio i Tuoi Dati e la Carta di Credito nel 2025
WordPress Sotto Attacco: la Vulnerabilità GiveWP Mette a Rischio i Tuoi Dati e la Carta di Credito nel 2025
Introduzione: Il Pericolo Nascosto nei Plugin WordPress, in questo caso la vulnerabilità GiveWP
WordPress è la piattaforma più utilizzata al mondo per la creazione di siti web, ma la sua popolarità la rende anche un bersaglio privilegiato per gli hacker. Recentemente, è emersa una grave vulnerabilità nel plugin GiveWP, utilizzato da oltre 100.000 siti per gestire donazioni online. Questo exploit potrebbe permettere a malintenzionati di rubare dati personali, indirizzi e persino informazioni sulle carte di credito degli utenti.
In questo articolo, analizzeremo nel dettaglio:
- Cos’è GiveWP e perché è così diffuso
- Come funziona la serializzazione degli oggetti in PHP
- La vulnerabilità scoperta e come sfruttarla
- Cosa puoi fare per proteggere il tuo sito WordPress
Cos’è GiveWP e Perché è a Rischio?
GiveWP è il plugin più utilizzato per ricevere donazioni su WordPress. Grazie alla sua facilità d’uso e integrazione con gateway di pagamento come PayPal, Stripe e altri, è la scelta preferita da organizzazioni no-profit, blogger e creator.
Tuttavia, proprio perché così diffuso, è diventato un obiettivo per i cybercriminali. La vulnerabilità scoperta riguarda il modo in cui GiveWP gestisce i dati degli utenti durante il processo di pagamento, sfruttando una falla nel PHP Object Injection.
PHP e la Serializzazione degli Oggetti: Come Funziona?
WordPress è scritto in PHP, un linguaggio di programmazione Object-Oriented (OOP). In PHP, gli oggetti possono essere convertiti in stringhe tramite un processo chiamato serializzazione, che permette di:
- Salvare dati complessi in database (come la tabella
wp_options) - Passare oggetti tra diverse funzioni senza perdere informazioni
Ecco un esempio di serializzazione in WordPress:
a:5:{i:0;s:35:"add-from-server/add-from-server.php";i:1;s:19:"jetpack/jetpack.php";i:2;s:27:"wp-super-cache/wp-cache.php";}Questo testo rappresenta una lista di plugin installati, trasformata in una stringa serializzata.
Il Problema della Serializzazione Non Sicura
Se un hacker riesce a modificare una stringa serializzata, può iniettare codice malevolo che viene eseguito quando WordPress la “deserializza”. Questo è particolarmente pericoloso quando:
- Una classe PHP contiene metodi come
__get,__set,__constructo__destruct - I dati utente non vengono validati correttamente prima della serializzazione
La Vulnerabilità GiveWP: Come Viene Sfruttata?
GiveWP contiene una classe chiamata GiveInsertPaymentData che gestisce gli indirizzi di fatturazione. Ecco il codice critico della vulnerabilità GiveWP:
namespace Give\PaymentGateways\DataTransferObjects;
final class GiveInsertPaymentData {
public $userInfo;
private function getLegacyBillingAddress() {
$donorDonationBillingAddress = $this->userInfo['address'];
$address = [
'line1' => $donorDonationBillingAddress->address1,
'line2' => $donorDonationBillingAddress->address2,
'city' => $donorDonationBillingAddress->city,
'state' => $donorDonationBillingAddress->state,
'zip' => $donorDonationBillingAddress->zip,
'country' => $donorDonationBillingAddress->country,
];
if (! $donorDonationBillingAddress->country) {
$address = false;
}
return $address;
}
}Dove Sta il Problema?
- Mancata Validazione dell’Input: L’indirizzo (
$userInfo['address']) viene preso direttamente dall’utente senza controlli. - PHP Object Injection: Se un hacker inserisce un oggetto serializzato malevolo invece di un normale indirizzo, può sfruttare il metodo
__getdella classeGiveper eseguire codice arbitrario.
Ecco come funziona l’exploit:
- Un attaccante invia una richiesta di donazione con un indirizzo serializzato contenente codice malevolo.
- GiveWP deserializza l’indirizzo e, invece di leggerlo come testo, lo interpreta come un oggetto PHP.
- Se l’oggetto contiene metodi come
__geto__destruct, questi vengono eseguiti, permettendo all’hacker di rubare dati o eseguire operazioni pericolose.
Cosa Puoi Fare per Proteggere il Tuo Sito?
Se utilizzi GiveWP, segui questi passaggi per evitare attacchi:
1. Aggiorna Subito GiveWP
Il team di GiveWP ha rilasciato una patch. Assicurati di avere l’ultima versione installata.
2. Usa un Firewall per WordPress
Plugin come Wordfence o Sucuri possono bloccare tentativi di Object Injection.
3. Disabilita la Serializzazione Non Necessaria
Se possibile, evita di memorizzare dati serializzati in wp_options. Usa invece formati più sicuri come JSON.
4. Monitora le Transazioni Sospette
Controlla regolarmente le donazioni e verifica che non ci siano indirizzi strani o tentativi di pagamento anomali.
5. Esegui un Backup Giornaliero
Se il sito viene compromesso, un backup recente ti permetterà di ripristinarlo rapidamente.
Conclusione: La Sicurezza WordPress Dipende da Te
GiveWP è solo uno degli ultimi plugin vulnerabili scoperti. Con WordPress che alimenta oltre il 40% dei siti web, è fondamentale:
- Mantenere sempre aggiornati plugin e temi
- Utilizzare strumenti di sicurezza avanzati
- Monitorare attività sospette
Se gestisci un sito che accetta pagamenti, non sottovalutare questo rischio. Aggiorna GiveWP immediatamente e adotta misure di sicurezza proattive per proteggere i tuoi utenti.
🔒 Proteggi il tuo sito oggi stesso prima che sia troppo tardi!
📌 Hai riscontrato problemi con GiveWP? Raccontaci la tua esperienza nei commenti!
Segui il nostro blog: Hackerlog.net per rimanere aggiornato su cybersecurity, hacking etico e difesa delle infrastrutture digitali.
Advertisement
Related Posts
Stay Informed With the Latest & Most Important News
Previous Post
Next Post
Advertisement
