WordPress deve correggere le vulnerabilità critiche dei plugin

Milioni di siti WordPress hanno ricevuto aggiornamenti obbligatori nell’ultimo giorno per correggere una vulnerabilità in un plug-in chiamato UpdraftPlus. È quanto riporta il sito napolicalciomania.it.

Questa patch obbligatoria su richiesta degli sviluppatori di UpdraftPlus è avvenuta a causa della gravità della vulnerabilità, che consente agli abbonati inaffidabili, ai clienti e ad altri di scaricare il database personale del sito purché dispongano di un account sul sito vulnerabile. I database spesso contengono informazioni riservate sui clienti o sui sistemi di sicurezza del sito, rendendo milioni di siti vulnerabili a gravi violazioni dei dati come la perdita di password, nomi utente, indirizzi IP e altro ancora. UpdraftPlus semplifica il processo di backup e ripristino dei database Web ed è uno dei plug-in di backup pianificati più utilizzati su Internet per il sistema di gestione dei contenuti di WordPress. Regola il backup dei dati per Dropbox, Google Drive, Amazon S3 e altri servizi cloud. I suoi sviluppatori affermano che consente agli utenti di pianificare backup regolari e utilizza meno risorse del server rispetto ai plug-in WordPress veloci e concorrenti. «Questo bug è molto facile da sfruttare, con alcune conseguenze negative se viene sfruttato», ha affermato Mark Montpas, un ricercatore di sicurezza che ha parlato personalmente della vulnerabilità agli sviluppatori di plugin. «Consente agli utenti con privilegi bassi di scaricare i backup del sito, inclusi i database di backup. I conti con offerte basse possono significare molte cose. Abbonati abituali, clienti (ad esempio sui siti di e-commerce)». Montbos, ricercatore dell’Internet Security Institute Scansione di ritorno, ha affermato di aver rilevato la vulnerabilità durante un audit di sicurezza del plug-in e di aver fornito dettagli agli sviluppatori di UpdraftPlus. Il giorno dopo, gli sviluppatori hanno rilasciato un bug e hanno deciso di rendere obbligatoria l’installazione del plug-in sui siti WordPress. Statistiche fornite da WordPress.org Spettacolo, 1,7 milioni di siti hanno ricevuto aggiornamenti e più di 287.000 persone lo hanno installato al momento della stampa. WordPress afferma che il plug-in ha 3 milioni di utenti.

[CREDIT PHOTO: ITALY PHOTO PRESS]