Pubblicato il 18 novembre 2024
Vincenzo Paquette
François Charron
È stata scoperta una grave vulnerabilità di sicurezza in un plugin di WordPress. Questa vulnerabilità può consentire agli hacker di accedere agli account amministratore dei siti che la utilizzano. Più di 4 milioni di siti web in tutto il mondo sono a rischio se non installano la patch.
La falla di sicurezza è stata scoperta nel plugin Really Simple Security sui siti WordPress.
La cosa ironica è che si tratta di un plugin focalizzato sulla sicurezza mentre consente, tra le altre cose, il rilevamento in tempo reale delle vulnerabilità di un sito e permette anche di aggiungere il doppio fattore di autenticazione.
Tuttavia, questo plugin presenta una scappatoia che consente agli hacker di attaccare da remoto i siti che lo utilizzano. Possono quindi ottenere l’accesso come amministratore e assumerne il controllo completo.
La vulnerabilità colpisce le versioni gratuita e Pro del software, dalla versione 9.0.0 alla 9.1.1.1.
Più di 4 milioni di siti web utilizzano questo plugin.
WordFence, che ha scoperto il difetto, non usa mezzi termini quando menziona:
Questa è una delle vulnerabilità più gravi che abbiamo segnalato nei nostri 12 anni di storia come fornitore di sicurezza WordPress.
Disponibile una patch di sicurezza
Una patch di sicurezza è stata rapidamente implementata tramite il rilascio 9.1.2 plug-in.
Quindi, se noi o la nostra azienda abbiamo un sito WordPress e utilizziamo il famoso plugin Really Simple Security, abbiamo tutto l’interesse ad aggiornarlo velocemente.
Altrimenti metteremo a rischio l’intero nostro sito e gli hacker potranno assumerne il controllo totale.
Questa situazione ci ricorda ancora una volta l’importanza di aggiornarsi sempre!