WordPress è a rischio per una grave vulnerabilità di un plugin che risulta installato su ben 4,3 milioni di siti.
L’allarme è stato lanciato lo scorso 27 luglio dal team Threat Intelligence della società WordFence. Questo gruppo di lavoro si occupa di sicurezza specializzata nella protezione dei siti in WordPress e monitora costantemente tutte le falle nascoste nella programmazione da WordPress. Il 30% dei portali mondiali utilizza questi moduli e quindi una eventuale criticità potrebbe avere ricadute esponenziali.
In questo caso Wordfence ha individuato una grave vulnerabilità nel plugin WPBakery, che è installato in 4,3 milioni di siti web. Questa falla consente l’inserimento di javascript all’interno dei post e potrebbero dare accesso, attraverso una autenticazione, a collegamenti esterni mascherati a livello di collaboratore o superiori.
POTREBBE INTERESSARTI —> Fujifilm X-S10, la nuova mirrorless ad un prezzo sorpredente
WordPress, il plugin WPBakery consente l’ingresso esterno ai siti
Wordfence ha dichiarato di aver contattato gli sviluppatori del plugin WPBakery lo scorso 28 luglio spiegando loro tutte le vulnerabilità riscontrate nel codice. Questa falla è stata poi confermata e i responsabili si sono messi a lavoro per creare una patch che risolvesse il problema.
Questo però non è stato di facile soluzione, tanto che questa patch è stata rilasciata al pubblico solo il 24 settembre, quindi dopo quasi due mesi.
Ma cosa è WPBakery? Si tratta di un page builder molto popolare, che consente la creazione di un sito web utilizzando operazioni di drag and drop. In pratica questo page builder consente anche a chi non è esperto di programmazione a costruire un sito.
Il difetto potrebbe dare il permesso ad esterni di entrare nell’admin come collaboratore o autore, semplicemente utilizzando un javascript dentro le pagine o i post. In questo modo chi entra potrebbe modificare tutto, pagine o post, inserendo un HTML e javascript attraverso il page builder.
La soluzione è offerta aggiornando la versione alla 6.4.1, ma va verificato anche che non siano presenti account esterni rispetto a quelli conosciuti.
POTREBBE INTERESSARTI —>AMD Ryzen 5000 Zen 3 è ufficiale e impensierisce Intel