WordPress ha una gravissima falla: bisogna aggiornare subito il sistema per non rischiare

Scatta l’allarme per milioni e milioni di utenti/aziende, visto che WordPress è semplicemente una piattaforma software di “blog” e content management system open source, fra le più utilizzata. Se non la numero uno del suo settore.

Già, lo sviluppatore di un popolare plugin per WordPress ha aggiornato il suo prodotto per correggere una vulnerabilità critica, definita grave, che potrebbe essere sfruttata per cambiare l’aspetto di milioni di portali di tutto il mondo.

Elementor viene commercializzato come piattaforma leader per la creazione di siti Web per WordPress, consentendo a oltre cinque milioni di utenti di creare facilmente siti Web per se stessi o per la propria attività senza scrivere alcun codice. Tuttavia, la scorsa settimana i ricercatori della società di sicurezza Plugin Vulnerabilities hanno scoperto attività sospette relative al plugin.

Imperativo categorico: aggiornare immediatamente il plug-in

“Non siamo riusciti a trovare alcuna vulnerabilità rivelata di recente che dovrebbe spiegarlo, quindi abbiamo iniziato a fare i nostri controlli standard che facciamo in una situazione in cui un hacker potrebbe sfruttare una vulnerabilità non risolta in un plug-in”.

Così l’azienda del CMS più utilizzato al mondo, in una nota ufficiale: “Quello che abbiamo subito riscontrato è che il plug-in non gestisce correttamente la sicurezza di base, poiché abbiamo riscontrato molte funzionalità in cui mancavano i controlli delle capacità dove non avrebbero dovuto. Mentre alcuni di quelli non erano accessibili agli utenti che non dovrebbero avere accesso, ne abbiamo trovato almeno uno e la funzionalità accessibile porta a uno dei tipi più gravi di vulnerabilità, l’esecuzione di codice in modalità remota”.

La vulnerabilità può essere sfruttata da aggressori autenticati con accesso alla dashboard di amministrazione di WordPress, ma è possibile che possa essere utilizzata anche da attori delle minacce non loggati, avverte Plugin Vulnerabilities.

Il bug è stato scoperto nella versione 3.6.0 del plug-in, rilasciata il 22 marzo. Attualmente, secondo le statistiche di WordPress, il 30,7% degli utenti hanno installato la versione 3.6., il che significa che sul totale di oltre 5 milioni di siti che fanno uso di Elementor, 1,5 milioni di utenti circa potrebbe essere a rischio vulnerabilità.

Imperativo categorico: aggiornare immediatamente il plug-in, ossia la versione 3.6.3. “Per la massima protezione – chiosa l’azienda – le organizzazioni che utilizzano WordPress dovrebbero assicurarsi di utilizzare la sicurezza in modo approfondito, inclusa la sicurezza a livello di applicazioni, rete e sistema. Infine, la cosa più semplice che qualsiasi organizzazione può fare per ridurre le vulnerabilità è mantenere il proprio codice aggiornato e corretto”.