Gli sviluppatori di WordPress hanno rilasciato un aggiornamento automatico per milioni di utenti, correggendo i loro siti e rimuovendo molteplici vulnerabilità.
Alcune di queste vulnerabilità erano così gravi che, se sfruttate, potevano consentire all'attaccante di assumere il pieno controllo del sito, mentre altre erano meno pericolose e richiedevano un certo livello di accesso da parte dell'amministratore per essere sfruttate.
Un totale di 4 vulnerabilità sono state corrette con la versione cinquantotto di WordPress. Si consiglia ai webmaster e agli altri amministratori di controllare la versione di WordPress su cui è in esecuzione il loro sito, per assicurarsi che non possano essere attaccati.
Grande piattaforma, grande obiettivo
Esaminando il rilascio di sicurezza, gli sviluppatori del plugin di sicurezza di WordPress Wordfence hanno affermato che la patch è supportata su ogni singola versione di WordPress dalla trentasettesima, la prima versione ad accettare gli aggiornamenti automatici di base per le versioni di sicurezza di WordPress. . Ciò significa che quasi tutti i siti dovrebbero essere sicuri, mentre "ovunque rimane fragile sarebbe sfruttabile solo in circostanze molto specifiche".
WordPress è il costruttore di siti più popolare del pianeta e, in quanto tale, è spesso il bersaglio di attori maliziosi e altri criminali informatici. Offre agli utenti un negozio online con migliaia di plugin, molti dei quali potrebbero presentare vulnerabilità pericolose.
Meno di un mese fa, è stato segnalato che oltre ottocento zero siti WordPress erano ancora vulnerabili a una "semplice" vulnerabilità di acquisizione, a causa del fallimento dell'aggiornamento del plug-in SEO WordPress "All in One".
Lo studioso di sicurezza automobilistica Marc Montpas, che per primo ha notato i difetti, ha affermato che è facile abusare dei difetti su siti fragili perché tutto ciò che un utente malintenzionato deve fare è cambiare "un singolo carattere maiuscolo" per evitare qualsiasi controllo dei privilegi.
Un paio di mesi fa, una vulnerabilità nel plug-in Modelli di base: Elementor, Gutenberg e Beaver Builder Templates consentiva agli utenti di livello cooperativo di sovrascrivere completamente qualsiasi pagina del sito e anche di incorporare JavaScript dannoso a piacimento. In uno di questi casi, più di un milione di siti sono stati minacciati.
Nello stesso mese, è stato scoperto che anche il plug-in "Email Preview for WooCommerce" conteneva un grave difetto, che poteva consentire agli aggressori di impossessarsi del sito. Il plugin è stato utilizzato da oltre venti siti.
- Puoi anche richiedere la nostra lista dei migliori firewall del momento.