Nuove vulnerabilità in 3 plugin WordPress

È notizia di pochi giorni fa, in 3 plugin di WordPress piuttosto utilizzati sulla piattaforma CMS più famosa al mondo sono state trovate gravi vulnerabilità che potrebbero compromettere il funzionamento dei siti su cui sono installati e attivi.

I plugin ricordiamo sono strumenti, installabili dal repository di WordPress (all’indirizzo https://it.wordpress.org/plugins/), che consentono ai siti di ottenere nuove funzionalità con pochi semplici clic. Si parte da strumenti per migliorare i contenuti da pubblicare (gallerie di immagini, slideshow, banner, popup, video player) a strumenti per la rivoluzionare totalmente la struttura del sito e farli diventare blog, forum, e-commerce o per migliorarne le prestazioni (caching, CDN, compressione).
Si trovano anche plugin per gestire la sicurezza del proprio sito; veri e propri firewall che controllano ogni connessione, registrazione o intervento degli utenti sul sito WordPress. Tra questi è stato proprio uno dei più noti, Wordfence, a scovare le vulnerabilità di 3 importanti plugin.

Se avete uno dei plugin che vengono indicati qui sotto provvedete a aggiornarli quanto prima:

WordPress – InfiniteWP

300.000 installazioni
Plugin utilizzato per gestire più installazioni di WordPress da un’unica console per effettuare in modo centralizzato l’aggiornamento e la manutenzione di tutti i propri siti da un singolo server.
La falla consente di effettuare il login con privilegi di amministratore nei diversi siti e quindi di effettuare ogni tipo di operazione.
Falla di sicurezza corretta nella versione 1.9.4.5.

WP Time Capsule

200.000 installazioni
Il plugin consente di gestire i backup del sito web su cui è installato.
Anche in questo caso la falla permette l’accesso con permessi di amministratore.
Falla di sicurezza corretta nella versione 1.21.16.

WP Database Reset

80.000 installazioni
Questo plugin consente di resettare un database WordPress o solo alcune delle sue tabelle riportandoli alla versione di default.
Grazie alla falla trovata da Wordfence è possibile resettare qualsiasi tabella senza avere l’autorizzazione necessaria; è inoltre possibile per un utente con privilegi base, ottenere privilegi superiori, anche di amministratore.
Falla di sicurezza corretta nella versione 3.15.

 

Se sei stato colpito da queste gravi vulnerabilità, o non vuoi preoccuparti di aggiornamenti o di problematiche al tuo sito, rivolgiti a professionisti per la manutenzione ordinaria e straordinaria del tuo sito web.

Scribit fornisce veri e propri contratti di assistenza su siti web, e-commerce o gestionali web. 15 anni di esperienza su siti web, e nello specifico sulle piattaforma WordPress e WooCommerce, al tuo servizio per farti dormire sonni tranquilli.