È stata scoperta una falla di sicurezza critica in un popolare plugin di WordPress. Sono colpiti più di 4 milioni di siti web, mettendo a rischio i dati personali di molti utenti.
Il nome di WordPress forse non significa niente per te, eppure lui è indietro quasi la metà dei siti web del mondo. Il 43,6% esattamente secondo le ultime statistiche. Questo è un piattaforma di gestione dei contenuti onlinepermettendo creare e gestire pagine web. Uno dei suoi grandi punti di forza è la possibilità diaggiungere pluginun po’ come le estensioni del browser. Ce ne sono centinaia di migliaia, assicurati di trovare esattamente quello di cui hai bisogno.
La controparte è quella ciascuno rappresenta un potenziale rischio per la sicurezzapoiché gli hacker cercheranno di sfruttare il minimo difetto presente in un plugin. Il fenomeno è tanto più grave quando riguarda un prodotto di largo consumo. Quello che è stato recentemente rivelato preoccupa più di 4 milioni di siti. Tocca l’estensione Sicurezza davvero sempliceche, come suggerisce il nome, si occupa semplicemente dell’aspetto sicurezza del sito: configurazione SSL, protezione degli identificatori, autenticazione a due fattori, ecc.
Questo difetto in un popolare plugin di WordPress mette a rischio milioni di siti web
I team di Wordfence, che hanno scoperto il difetto, hanno subito annunciato il colore: “È una delle vulnerabilità più gravi che abbiamo segnalato nei nostri 12 anni di storia come fornitore di sicurezza WordPress“. È presente nelle versioni gratuite del plugin, “Pro” e “Pro Multisite”, dalla 9.0.0 alla 9.1.1.1. Usandolo, un hacker può accedere a qualsiasi account utente registrato sul sito, compreso quello dei suoi amministratori.
Leggi anche – WordPress e Tumblr vendono i tuoi dati alle aziende per addestrare la loro intelligenza artificiale
Purtroppo, lo sfruttamento può essere effettuato utilizzando script automatizzatiche lascia la porta aperta operazioni di hacking massicce e simultanee. Una correzione è stata distribuita a tutte le versioni e dovrebbe essere installata automaticamente. Gli amministratori del sito devono ancora controlla che abbiano la versione 9.1.2 di Really Simple Security e aggiornare manualmente se necessario.