Da un analisi compiuta da Wordfence emerge come 400 mila siti che utilizzano WordPress siano a rischio hacking. Scoperte falle in 3 diversi plugin, come risolverle.
Leggi anche ->Whatsapp non invia foto e messaggi vocali, ecco dove e perché
I gestori della piattaforma di scrittura online hanno già ravvisato le falle all’interno dei tre plugin e le hanno risolte negli aggiornamenti più recenti. Per evitare il rischio di intromissioni esterne, dunque, è necessario aggiornare il proprio sito con i plugin di ultima uscita. Il problema nasce dal fatto che sarebbero circa 400 mila i siti web che non hanno ancora effettuato l’aggiornamento e dunque messo al sicuro i propri dati ed il lavoro svolto quotidianamente.
Leggi anche ->WhatsApp, svelato un bug che manda in crash l’applicazione di Facebook
Se vuoi seguire tutte le nostre notizie in tempo reale CLICCA QUI
La vulnerabilità più consistente riguarda il plugin InfiniteWP Client che permette di gestire più siti web da un unico server. La falla permette all’hacker di entrare sul sito senza credenziali d’accesso come amministratore e compiere svariate azioni: scrivere contenuti, cancellarli, bloccare account etc. Per farlo gli basta conoscere il nome di un account valido e inviare una richiesta Post (opportunamente creata) al sito vulnerabile. Per risolvere il bug basta passare dalla versione 1.9.4.4 alla più recente 1.9.4.5. Sono circa 300mila i siti che non hanno ancora aggiornato InfiniteWP Client.
Stesso rischio per chi non ha aggiornato il WP Time Capsule alla versione 1.21.16. Questo plugin serve a gestire il backup del sito e la falla permette ai malintenzionati di accedere come amministratore. Il meccanismo di accesso è simile a quello precedente: inserendo una stringa apposita in una richiesta Post, l’attaccante può ottenere l’elenco degli account ed accedere come primo amministratore. Sono 200 mila i siti che non hanno ancora aggiornato alla versione che fixa il bug.
Per quanto riguarda il WP Database Reset, le falle sono di due tipologie. La prima permette a chiunque di cancellare i dati da qualsiasi tabella e riportare tutto allo stato originale. Qui il problema è legato al fatto che la funzione reset non è protetta da controlli standard. La seconda falla permette a qualunque client loggato di diventare amministratore e escludere o cancellare account. In questo caso si risolve con l’aggiornamento alla versione 3.15.
Sciarretta Massimiliano