Un aggiornamento di WordPress, invece di migliorare il servizio, pare che abbia causato non pochi problemi. Ecco cosa è successo
WordPress è in continuo aggiornamento, con gli sviluppatori molto attenti a fornire agli utenti le migliori funzionalità in tema di utility e sicurezza. In attesa del rilascio della nuova grande versione della piattaforma, la 6.3, che arriverà ad agosto di quest’anno, il team addetto periodicamente lancia mini-aggiornamenti. L’ultimo, però, sta causando diversi problemi.
WordPress, come qualsiasi altra piattaforma web al mondo, è sempre nel mirino dei malintenzionati. Per forza di cose non si può sbagliare con gli aggiornamenti, proprio perché potrebbero crearsi vulnerabilità atte a spianare la strada ai cybercriminali. Andiamo a vedere, però, cosa sta succedendo in queste ore nel dettaglio.
Update di correzione, ma qualcosa va storto: funzione mette a rischio i siti degli utenti
A seguito di un aggiornamento di sicurezza, cioè quello per la versione 6.2.1, è stata rilevata un’altra vulnerabilità generata dall’update. Di base il compito sarebbe stato quello di rimuovere una funzionalità chiave che causava l’interruzione del funzionamento di molti plug-in, gli stessi che stavano bloccando il sistema di blocchi di WordPress. E anche se questi plug-in dei moduli disponibili sono stati risolti, pare si sia presentato un altro problema che riguarda gli shortcode.
Gli shortcode, cioè delle singole righe di codice che hanno la funzione di segnaposto per le funzionalità, stanno bloccando i temi a blocchi, non permettendo agli utenti di utilizzare la suddetta impostazione. Questo è successo a causa di un debug generato dalla correzione di sicurezza che ha interessato anche gli shortcode, scatenando una reazione a catena non indifferente e che ha convinto persino gli hacker a farne uso: la vulnerabilità è grave, e non può essere risolta tanto facilmente.
Invece di essere usati come moduli di contatti su ogni pagina, visto che lo shortcode può incorporarli, vengono eseguiti all’interno dei contenuti generati dagli utenti, causando degli exploit molto pesanti. WordFence descrive questa situazione come un difetto che abilita una vulnerabilità più pericolosa della precedente. Si consiglia di disattivare la funzione degli shortcode fino a quando WordPress non rilascerà un altro aggiornamento di correzione.