Sicurezza WordPress a rischio, proprio così. In questa ultima settimana molti di noi che gestiscono siti in WordPress avranno avuto un effetto déjà vu trovandosi a domandare “ma questo sito non l’avevo già aggiornato all’ultima versione di WordPress??”
Purtroppo non si tratta di un déjà vu ma della realtà che ha visto il rilascio rispettivamente delle seguenti versioni negli ultimi 7 giorni:
- 4.1.2 – 21 Aprile 2015
- 4.2.0 – 23 Aprile 2015
- 4.2.1 – 27 Aprile 2015
Motivi dei vari aggiornamenti, oltre ai classici bug fix o miglioramenti solitamente integrati nei cambi di versione (da 4.1 a 4.2) ha visto il repentino rilascio della 4.2.1 poiché vi è stata trovata una falla molto grave di sicurezza.
La falla in una scala di pericolosità è ai massimi livelli poiché è presente nel core di WordPress e, quindi, espone a possibili violazioni milioni e milioni di siti basati su questo noto CMS.
Il ricercatore finlandese Jouko Pynnönen è l’autore dela scoperta, una falla di tipo XSS (Cross Site Scripting) presente nel sistema di commenti nativo di WordPress. Le versioni interessate sono: 3.9.3, 4.1.1, 4.1.2 e la 4.2.0.
Perché aggiornare alla versione più recente?
Come spiegato nel suo blog inserendo un commento opportunamente formattato con all’interno del codice Javascript questo veniva correttamente salvato ed eseguito una volta pubblicato.
La possibilità di inserire codice Javascript potrebbe consentire agli hacker di intercettare i cookie dell’amministratore e tramite questi impersonare l’utente Amministratore cambiando password, aggiungendo utenti, alterando il template e via discorrendo.
Il ricercatore di sicurezza ha pubblicato anche un video dove dimostra la presenza della falla.
https://www.youtube.com/watch?v=N2VwpwqHBbo
Con un semplice commento, come potete osservare, si potrebbe ottenere una compromissione molto elevata del proprio sito in WordPress pertanto aggiornate quanto prima alla 4.2.1 dove la falla è stata patchata.
