Torniamo a parlare della sicurezza di WordPress citando una notizia riportata solo alcuni giorni fa dal portale Bleeping Computer e riguardante uno dei plugin più utilizzati del noto CMS. A quanto si legge, Jetpack, uno strumento aggiuntivo che migliorerebbe la sicurezza dei siti WordPress avrebbe ricevuto una patch urgente per sopperire a delle gravi vulnerabilità. La causa di questa forzatura degli aggiornamenti è presto spiegata: il plugin Jetpack è attualmente installato su oltre 5 milioni di portali, per i quali incrementa appunto la sicurezza oltre a migliorare la fluidità ed a garantire i backup in modo gratuito, pertanto è necessario che ogni rischio venga azzerato sul nascere.
Gli stessi sviluppatori di Jetpack si sono accorti di una grossa falla di sicurezza nelle API disponibili a partire dalla versione 2.0 del plugin rilasciata oltre dieci anni fa. Questa vulnerabilità avrebbe dato la possibilità ad un attaccante di manomettere i file di installazione di WordPress e a partire dalla scoperta di quest’ultima sono state aggirate tutte le classiche discrezionalità degli utenti del noto CMS per forzare l’installazione della patch nella versione 12.1.1. Questa operazione ha portato in poco tempo gli sviluppatori a coprire più di 4 milioni di siti che utilizzano il noto plugin puntando a chiudere con tutti i restanti in pochi giorni.
Ad ora la buona notizia è che sembra che la falla di sicurezza non abbia provocato danni di alcun tipo e non sia stata sfruttata, ma adesso che è stata svelata è molto probabile che i criminali siano già a conoscenza del problema e che lo studino a fondo per lanciare offensive verso coloro che sono ancora sprovvisti di patch. Quel che importa è che, come avvenuto in altri rari casi, WordPress ha autorizzato l’aggiornamento automatico dei plugin dopo essersi consultato con gli sviluppatori di quest’ultimo valutando come necessaria l’operazione. Come ripetiamo da tempo, però, non tutti gli strumenti presenti nella directory del CMS possono avere questo privilegio, quindi è sempre necessario fare attenzione su tutte le release ufficiali dei plugin che si utilizzano e soprattutto sullo stato della sicurezza di quest’ultimi.
Fonte: 1
