Duplicate Page and Post plugin

Duplicate Page and Post: problemi di sicurezza del plugin di WordPress

Scoperta una vulnerabilità in un plugin di WordPress ed in nostri tecnici sono prontamente intervenuti per disabilitare lo strumento pericoloso.

In queste ultime ore ci è pervenuto un allarme di sicurezza da parte di uno dei nostri  managed hosting WordPress – WP Engine  – riguardo al plugin Duplicate Page and Post in uso presso un paio di siti di nostri clienti.

Di seguito il testo dell’email ricevuta

Hello Franco,

At WP Engine we take security very seriously and make every effort to keep our customers aware of any potential issues. We are reaching out to you today because we identified your site(s), are utilizing a vulnerable version of a Duplicate Page and Post plugin.

Wordfence recently disclosed that a backdoor was present in this plugin. This backdoor allowed the plugin author to inject unauthorized code into your website, usually in the form of SEO links or other spam. More information is available at: https://www.wordfence.com/blog/2017/12/plugin-backdoor-supply-chain/

Come si noterà il problema è piuttosto grave e mette a rischio la sicurezza dei siti che hanno questo plugin installato, e non è un caso se il repository di WordPress.org ha sospeso il plugin qualche settimana fa:

Duplicate Page and Post plugin
Duplicate Page and Post plugin eliminato dal repository di wordpress.org

Il rischio effettivo

Da quanto si legge sul report di Wordfence, questo ed altri 2 plugin contengono del codice malevole che permette ad un malintenzionato di accedere al nostro sito e di infettarlo. Per questo motivo i responsabili di WP Engine hanno avviato una procedura di auto-cancellazione del plugin incriminato su tutti i siti presenti sui nostri server.

Un plugin alternativo: Duplicate Post

Chi necessita della funzionalità proposta dal plugin incriminato, può sostituirlo con l’ottimo Duplicate Post dell’italianissimo Enrico Batocchi che continua a aggiornare il proprio plugin installato su più di 2 milioni di siti e consigliato sulla nostra rubrica plugin indispensabili