Da un analisi compiuta da Wordfence emerge come 400 mila siti che utilizzano WordPress siano a rischio hacking. Scoperte falle in 3 diversi plugin, come risolverle.
I gestori di siti d’informazione devono stare attenti a non sottovalutare gli aggiornamenti dei plugin. Questo è ciò che emerge da una ricerca condotta da Wordfence sulle vulnerabilità esistenti su WordPress, piattaforma online utilizzata per creare contenuti e gestire i siti. Sono diverse le falle nel sistema che permetterebbero ai malintenzionati di accedere al database del sito e creare scompiglio e problematiche varie. I plugin interessati sono InfiniteWP Client, WP Time Capsule e WP Database Reset.
Leggi anche ->Whatsapp non invia foto e messaggi vocali, ecco dove e perché
I gestori della piattaforma di scrittura online hanno già ravvisato le falle all’interno dei tre plugin e le hanno risolte negli aggiornamenti più recenti. Per evitare il rischio di intromissioni esterne, dunque, è necessario aggiornare il proprio sito con i plugin di ultima uscita. Il problema nasce dal fatto che sarebbero circa 400 mila i siti web che non hanno ancora effettuato l’aggiornamento e dunque messo al sicuro i propri dati ed il lavoro svolto quotidianamente.
Leggi anche ->WhatsApp, svelato un bug che manda in crash l’applicazione di Facebook
Se vuoi seguire tutte le nostre notizie in tempo reale CLICCA QUI
WordPress, come risolvere le falle nei tre plugin
La vulnerabilità più consistente riguarda il plugin InfiniteWP Client che permette di gestire più siti web da un unico server. La falla permette all’hacker di entrare sul sito senza credenziali d’accesso come amministratore e compiere svariate azioni: scrivere contenuti, cancellarli, bloccare account etc. Per farlo gli basta conoscere il nome di un account valido e inviare una richiesta Post (opportunamente creata) al sito vulnerabile. Per risolvere il bug basta passare dalla versione 1.9.4.4 alla più recente 1.9.4.5. Sono circa 300mila i siti che non hanno ancora aggiornato InfiniteWP Client.
Stesso rischio per chi non ha aggiornato il WP Time Capsule alla versione 1.21.16. Questo plugin serve a gestire il backup del sito e la falla permette ai malintenzionati di accedere come amministratore. Il meccanismo di accesso è simile a quello precedente: inserendo una stringa apposita in una richiesta Post, l’attaccante può ottenere l’elenco degli account ed accedere come primo amministratore. Sono 200 mila i siti che non hanno ancora aggiornato alla versione che fixa il bug.
Per quanto riguarda il WP Database Reset, le falle sono di due tipologie. La prima permette a chiunque di cancellare i dati da qualsiasi tabella e riportare tutto allo stato originale. Qui il problema è legato al fatto che la funzione reset non è protetta da controlli standard. La seconda falla permette a qualunque client loggato di diventare amministratore e escludere o cancellare account. In questo caso si risolve con l’aggiornamento alla versione 3.15.
Sciarretta Massimiliano
