Nuovo rischio per milioni di siti su WordPress: plug-in fondamentale è da aggiornare subito

Gli sviluppatori di WordPress hanno rilasciato un aggiornamento d’urgenza per correggere un plug-in di WordPress: tutto quello che devi sapere

Quando viene rilasciato un update di correzione ci si domanda il motivo, e in seguito si pensa ad analizzare le chatlog per capire cosa è cambiato. Forse una funzione non dava i benefici promessi, oppure è stata rilevata una criticità difficile da risolvere. In questo caso, gli sviluppatori di WordPress hanno dichiarato che un plug-in stava portando non pochi problemi alla piattaforma.

Ed è per questo motivo che è stato rilasciato d’urgenza un aggiornamento automatico, utile per affrontare un grave difetto di un plug-in. Parliamo di Jetpack, installato su cinque milioni di siti differenti e che avrebbe potuto arrecare diversi danni. La vulnerabilità è stata rilevata in un’API presente nel plug-in della versione 2.0, che un potenziale hacker poteva sfruttare per manipolare tutti i file installati nei siti web di WordPress.

Plug-in non funzionante, ma gli sviluppatori intervengono in tempo: poteva manipolare i file dei siti web

Per assicurarsi che il problema potesse essere risolto in via definitiva, gli sviluppatori hanno rilasciato 102 nuove versioni di Jetpack in modo tale da non tralasciare bug o glitch. Non è la prima volta che questo plug-in viene tirato in causa per quanto riguarda un update di correzione: 4 anni fa successe la stessa cosa. Nonostante l’aggiornamento correttivo, qualcuno ha fatto in tempo ad abusare del bug per manipolare i file dei siti WordPress?

Non ci sono prove su questo, non per il momento almeno. Gli sviluppatori sono convinti che non ci sia stato abbastanza tempo per manipolare i file dei siti WordPress, e che gli utenti possono stare tranquilli. Tuttavia, i gestori della piattaforma hanno dichiarato che verranno effettuati più controlli in questo periodo. La speranza è quella di trovare altri bug o glitch inosservati che non possono essere controllati o previsti.

In occasione di questi controlli approfonditi, infatti, sono stati rilevati alcuni difetti in un altro plug-in premium. Si tratta di Gravity Forms, che permetterebbe ad un utente non autenticato di distribuire un codice PHP arbitrario nei siti WordPress. L’aggiornamento correttivo è uscito poco prima di quello per Jetpack, quindi anche il bug che affliggeva Gravity Forms è stato risolto. L’analisi approfondita di WordPress, forse, potrebbe portare al lancio di un altro update di correzione.