Vulnerabilità in WordPress, scatta il serio allarme: è come un’epidemia

Anche il colosso WordPress non è sempre esente da vulnerabilità al sistema, che si ripercuotono poi su chi ha un sito: ecco cosa sta succedendo proprio in queste ore

Tra le piattaforme più utilizzate per creare siti troviamo sicuramente WordPress. Nonostante sia molto utile e facilmente intuibile, è pure essa però soggetta a vulnerabilità. Una è stata rilevata proprio in queste ore.

La National Vulnerability Database ha annunciato che è stata scoperta una vulnerabilità di tipo Stored Cross-Site Scripting (XSS) in un popolare plugin di Google Analytics per WordPress installato su oltre 3 milioni di siti. L’attacco di Cross-Site Scripting (XSS) si verifica generalmente quando una parte del sito web che accetta l’input dell’utente non è sicura e consente input imprevisti, come script o link.

La vulnerabilità XSS può essere sfruttata per ottenere accesso non autorizzato a un sito web e può portare al furto dei dati degli utenti o al completo controllo del sito. L’Open Worldwide Application Security Project (OWASP), un’organizzazione no-profit per la sicurezza delle applicazioni, ha descritto come funziona la vulnerabilità XSS, andiamo quindi a vedere il loro annuncio a riguardo.

WordPress, scoperta un’altra vulnerabilità: cosa bisogna fare

A parlare sulla falla di WordPress ci ha pensato l’Open Worldwide Application Security Project. In merito l’associazione ha affermato i cybercriminali possono utilizzare XSS per inviare uno script malevolo a un utente ignaro. In questo modo il browser dell’utente finale non ha modo di sapere che lo script non deve essere considerato affidabile e lo eseguirà. Il browser quindi non avrà la possibilità di ritenere che lo script provenga da una fonte fidata, e per questo script malevolo può accedere a qualsiasi cookie, token di sessione o altre informazioni sensibili memorizzate dal browser.

Una Stored XSS, che è considerata ancora più grave, si verifica quando lo script malevolo è memorizzato sui server del sito web stesso. Il plugin, MonsterInsights – Google Analytics Dashboard for WordPress, è stato scoperto come versione vulnerabile di Stored XSS ed è installato su oltre tre milioni di siti web, per questo motivo è parecchio pericolosa come vulnerabilità. A risolvere questa falla ci ha pensato Patchstack.

Fortunatamente è arrivato un rimedio per tutti gli utenti colpiti. Questa vulnerabilità è stata risolta nella versione 8.14.1. WordPress ha pubblicato una pagina intera dedicata all’accorgimento per la sicurezza, che raccomanda attività come il backup regolare del database, l’ottenimento di temi e plugin da fonti fidate e l’uso di password robuste. Tutte queste attività rientrano nell’accorgimento per la sicurezza.