Il sito CERT-PA, Computer Emergency Response Team Pubblica Amministrazione ha pubblicato pochi giorni fa un post secondo notificando di aver rilevato delle vulnerabilità in 13 plugin di WordPress. I plugin di WordPress in questione non sono neanche tra quelli meno diffusi o di nicchia, troviamo infatti nomi molto noti, come Jetpack di WP stesso e WooCommerce.
Secondo quanto rilevato da CERT-PA, i plugin di WordPress in questione sarebbero vulnerabili al cross-site scripting (XSS). XSS è una vulnerabilità che affligge siti dinamici con un controllo insufficiente dell’input nei form. Il cross-site scripting consente quindi agli hacker (o cracker) di inserire o eseguire codice client-side per attaccare il sito bersaglio. Con questo tipo di attacco i criminali informatici possono, tra le altre cose, raccogliere, manipolare o reindirizzare informazioni riservate, ma ovviamente questi sono solo alcuni esempi.
WordPress – I 13 plugin vulnerabili
I plugin attualmente vulnerabili al XSS sono i seguenti:
- WordPress Prismatic versione 2.3
- WordPress Popup-Builder versione 3.61.1
- WordPress Ultimate-Member versione 2.1.3
- WordPress Jetpack versione 8.2
- WordPress Forminator versione 1.11.2 (anche vulnerabile a Remote file upload)
- WordPress Events-Manager versione 5.9.7.3
- WordPress Default-Featured-Image versione 1.6.1
- WordPress Yikes Inc Easy Mailchimp Extender versione 6.6.2
- WordPress WPForms-Lite versione 1.5.8.2
- WordPress Wordfence versione 7.4.6
- WordPress WooCommerce versione 3.9.2
- WordPress TinyMCE-Advanced versione 5.3.0
- WordPress Really-Simple-SSL versione 3.2.9
Come consiglia anche CERT-PA, non posso che ribadire quanto sia importante assicurarsi che i plugin installati sul proprio sito siano sempre aggiornati all’ultima versione, proprio per evitare che vi siano vulnerabilità sfruttabili dai malintenzionati. Quindi se non l’avessi già fatto, controlla subito di aver aggiornato tutti i tuoi plugin di WordPress, in particolare questi con vulnerabilità conclamate.
Visto che per alcuni dei plugin vulnerabili di WordPress non è ancora disponibile un aggiornamento, controlla anche se il tuo hosting (ad esempio Chemicloud) offre la possibilità di proteggere il tuo sito WP con una soluzione di sicurezza informatica server-side, come Immunify360.
Caricamento...