Un plug-in di WordPress presenta una pericolosa vulnerabilità e mette a rischio gli utenti. È uno dei più scaricati al mondo
WordPress è una delle piattaforme di gestione dei contenuti più popolari al mondo. Fondata nel 2003, WordPress è un software open-source che consente agli utenti di creare, pubblicare e gestire il proprio sito web o blog. Grazie alla sua flessibilità e facilità d’uso, WordPress è diventato un’opzione preferita per molte aziende, blogger e organizzazioni di tutto il mondo.
Una delle ragioni per cui WordPress è così popolare è la sua vasta gamma di plugin. I plugin sono strumenti che gli utenti possono aggiungere al proprio sito WordPress per estendere le funzionalità di base. Ci sono migliaia di plugin disponibili per WordPress, ognuno dei quali offre funzionalità uniche. Alcuni plugin sono gratuiti, mentre altri sono a pagamento.
WordPress, questo plug-in presenta una grave vulnerabilità
Ad esempio, ci sono plugin che aiutano a migliorare la velocità del sito web, plugin per la gestione degli utenti, plugin per l’ottimizzazione dei motori di ricerca e così via. I plugin possono anche essere utilizzati per personalizzare il design del sito web, aggiungere funzionalità social media e molto altro ancora.
Tuttavia, con l’aumento della popolarità di WordPress e dei suoi plugin, è diventato sempre più importante assicurarsi che i plugin siano sicuri. Recentemente, è stata scoperta una vulnerabilità nel plugin WPCode – Insert Headers and Footers + Custom Code Snippets per WordPress, che ha oltre un milione di installazioni.
La vulnerabilità è stata segnalata sul database nazionale delle vulnerabilità degli Stati Uniti (NVD). Il plugin WPCode – Insert headers and Footers prima della versione 2.0.9 contiene una vulnerabilità di Cross-Site Request Forgery (CSRF).
Un attacco CSRF si basa sull’ingannare un utente finale che è registrato sul sito WordPress a fare clic su un link che esegue un’azione indesiderata. L’attaccante sfrutta le credenziali dell’utente registrato per eseguire azioni sul sito a cui l’utente è registrato. Quando un utente WordPress connesso fa clic su un link contenente una richiesta malintenzionata, il sito è obbligato a eseguire la richiesta perché stanno utilizzando un browser con i cookie che identificano correttamente l’utente come connesso.
È l’azione malintenzionata che l’utente registrato esegue inconsapevolmente che l’attaccante si aspetta. Nel caso del plugin WPCode – Insert Headers and Footers + Custom Code Snippets, l’attaccante potrebbe utilizzare questo exploit per eliminare i file sul server.
È importante notare che la vulnerabilità del plugin WPCode – Insert Headers and Footers + Custom Code Snippets è stata risolta nella versione 2.0.9. Gli utenti che utilizzano questo plugin dovrebbero aggiornare immediatamente alla versione più recente per garantire la sicurezza del proprio sito WordPress.
In generale, è importante essere consapevoli della sicurezza dei plugin WordPress e assicurarsi di utilizzare solo plugin affidabili e aggiornati. Gli utenti dovrebbero anche assicurarsi di tenere sempre aggiornato il proprio sito WordPress, di utilizzare password forti e di eseguire backup.