Il plugin Advanced Custom Fields (ACF) di WP Engine consente agli amministratori di WordPress di aggiungere campi personalizzati in tutti i loro siti web per avere un maggiore controllo sul sistema di gestione dei contenuti. È un plugin molto polare e ha oltre due milioni di installazioni attive.
È stato però scoperto che, se lasciato senza patch, questo plug-in presenta una vulnerabilità XSS riflessa di “gravità elevata”.
La causa del problema
La vulnerabilità del plugin per WordPress Advanced Custom Fields
Il plugin Advanced Custom Fields per WordPress è salvo?
Aumento del numero di vulnerabilità di WordPress
Hosting WordPress gestito. Aggiornamenti automatici e supporto di esperti
La causa sembra essere un reflected cross-site scripting (XSS), identificato come CVE-2023-30777 con un punteggio CVSS di 6,1 su 10 in termini di gravità, che lascia i siti vulnerabili agli attacchi XSS riflessi permettendo di inserire script eseguibili nei siti web.
La vulnerabilità XSS riflessa del plugin Advanced Custom Fields consentirebbe potenzialmente a qualsiasi utente del sito di rubare informazioni sensibili. Questa vulnerabilità, infatti, consente ai malintenzionati di sfruttare la falla di sicurezza per iniettare script dannosi, come reindirizzamenti, pubblicità e altri payload HTML eseguibili nel momento della visualizzazione del sito web.
Un ricercatore di PatchStack, un potente tool che aiuta a identificare le vulnerabilità di sicurezza all’interno di tutti i plugin di WordPress, ha scoperto la vulnerabilità il 5 febbraio e l’ha segnalata al fornitore di Advanced Custom Fields.
Il 5 maggio Patchstack ha pubblicato i dettagli del difetto consigliando agli utenti di aggiornare il proprio plugin almeno alla versione 6.1.6.
“Questa vulnerabilità consente a qualsiasi utente non autenticato di rubare informazioni sensibili, e, in questo caso, di aumentare i privilegi sul sito WordPress, inducendo un utente privilegiato a visitare il percorso URL modificato” ha scritto Patchstack nel suo rapporto.
È stata prontamente rilasciata una versione aggiornata (6.1.6) del plugin Advanced Custom Fields che ha risolto il problema della falla di sicurezza rilavata.
Gli utenti WordPress che hanno eseguito l’update alla nuova versione possono quindi utilizzare il plugin in tranquillità e sicurezza.
WordPress, che questo mese festeggia il suo 20° compleanno, rimane il sistema di gestione dei contenuti più popolare al mondo, utilizzato dal 43,2% di tutti i siti web, secondo W3Techs.
A causa della sua popolarità e dell’altissimo numero di siti web che lo utilizzano, WordPress è diventato anche uno dei principali obiettivi degli hacker, pronti a sfruttare eventuali falle di sicuerzza nel sistema.
Un sondaggio Patchstack rileva che tra il 2020 e il 2021 c’è stato un aumento del 150% nel numero di vulnerabilità di WordPress segnalate.
“La forza di WordPress è che si tratta di software open source, con una comunità vastissima di sviluppatori che, quotidianamente, intervengono sia sul codice principale che su tutti i temi e plugin, per migliorarlo. Il fatto di essere un software open source rende però possibile l’accesso al codice anche da parte di malintenzionati in cerca di vulnerabilità da sfruttare per i loro scopi malevoli. Per questo è importante tenere sempre le proprie installazioni di WordPress aggiornate.”
Commenta Stefano di Prima, Senior Technical Web Hosting Product Manager di team.blue, il grande gruppo Europeo di cui fa parte Register.it.
Aggiunge anche “Il suggerimento che possiamo dare, a tutti coloro che non hanno le competenze per applicare le principali regole di sicurezza, o il tempo per verificare quotidianamente la presenza di aggiornamenti, è quello di migrare il proprio sito web su una piattaforma di hosting gestito dove la gestione della sicurezza e degli aggiornamenti è curata dal provider stesso, con figure esperte e software evoluti.”
Leggi anche “Come aumentare la sicurezza del tuo WordPress“
Come abbiamo visto WordPress è uno dei sistemi di gestione dei contenuti (CMS) più popolari al mondo è quindi un grande obiettivo per gli hacker. Si stima che la principale ragione degli attacchi a WordPress sia legata a vulnerabilità dovute al mancato aggiornamento dei plugin.
Le falle di sicurezza che via via vengono scoperte sono corrette soltanto mediante aggiornamenti, ma se il sistema non è aggiornato la falla rimane e gli hacker possono sfruttarla per “bucare” il sito web.
Non hai tempo per gestire e aggiornate costantemente il tuo sito WordPress?
L’Hosting WordPress Gestito di Register.it ti offre uno spazio in cui ospitare il tuo sito web con tutto il supporto necessario per assicurarti che il tuo sito web sia sempre aggiornato, sicuro e veloce.
Ad aggiornare il CMS e i plugin e a monitorare le performance del tuo sito web ci penseranno i nostri esperti!
Sfrutta la potenza e la versatilità di WordPress e affidati agli esperti di Register.it per la gestione del tuo sito web con WordPress Gestito.
Copywriter, Marketing Specialist e Communication lover. Da sempre appassionata ai libri e alla scrittura, mi occupo di creare contenuti per il web ma non posso rinunciare al mio primo amore: la carta e la penna! Fuori dal web viaggio, cerco di tenermi in forma e soprattutto faccio la mamma.
Dal 4 al 6 giugno, ci trovi a Bologna al WMF 2025 insieme ai nostri partner per un viaggio nell’innovazione…
Dalla pianificazione alla pubblicità, dalla gestione dei commenti all’analisi delle performance: scopri perché Social Media Hub è la scelta giusta…
Il dominio che un tempo ospitava il sito ufficiale dell’autore per bambini Bruno Tognolini è ora usato per promuovere il…
Scopri come proteggere la tua identità digitale e i tuoi dati sensibili dalle nuove tecniche di phishing legate allo SPID.…
Scopri come i domini .store possono migliorare la tua credibilità e visibilità nel mondo e-commerce. Nel mondo dell’e-commerce, la fiducia…
La legge di Bilancio 2025 ha introdotto l'obbligo per gli amministratori di società di dotarsi di una casella PEC personale.…
Il sito utilizza cookie di profilazione propri e di terze parti. Se prosegui nella navigazione selezionando un elemento del sito, acconsenti all'uso dei cookie.
APPROFONDISCI