WordPress. Una falla di sicurezza di un plugin mette a rischio 2 milioni di siti

È stata scoperta una falla di sicurezza nel popolare plugin per WordPress Advanced Custom Fields. Gli utenti sono stati invitati ad aggiornare il plugin alla versione 6.1.6.

Il plugin Advanced Custom Fields (ACF) di WP Engine consente agli amministratori di WordPress di aggiungere campi personalizzati in tutti i loro siti web per avere un maggiore controllo sul sistema di gestione dei contenuti. È un plugin molto polare e ha oltre due milioni di installazioni attive.

È stato però scoperto che, se lasciato senza patch, questo plug-in presenta una vulnerabilità XSS riflessa di “gravità elevata”.

La causa del problema
La vulnerabilità del plugin per WordPress Advanced Custom Fields
Il plugin Advanced Custom Fields per WordPress è salvo?
Aumento del numero di vulnerabilità di WordPress
Hosting WordPress gestito. Aggiornamenti automatici e supporto di esperti

La causa del problema

La causa sembra essere un reflected cross-site scripting (XSS), identificato come CVE-2023-30777 con un punteggio CVSS di 6,1 su 10 in termini di gravità, che lascia i siti vulnerabili agli attacchi XSS riflessi permettendo di inserire script eseguibili nei siti web.

La vulnerabilità XSS riflessa del plugin Advanced Custom Fields consentirebbe potenzialmente a qualsiasi utente del sito di rubare informazioni sensibili. Questa vulnerabilità, infatti, consente ai malintenzionati di sfruttare la falla di sicurezza per iniettare script dannosi, come reindirizzamenti, pubblicità e altri payload HTML eseguibili nel momento della visualizzazione del sito web.

La vulnerabilità del plugin per WordPress Advanced Custom Fields

Un ricercatore di PatchStack, un potente tool che aiuta a identificare le vulnerabilità di sicurezza all’interno di tutti i plugin di WordPress, ha scoperto la vulnerabilità il 5 febbraio e l’ha segnalata al fornitore di Advanced Custom Fields.

Il 5 maggio Patchstack ha pubblicato i dettagli del difetto consigliando agli utenti di aggiornare il proprio plugin almeno alla versione 6.1.6.

“Questa vulnerabilità consente a qualsiasi utente non autenticato di rubare informazioni sensibili, e, in questo caso, di aumentare i privilegi sul sito WordPress, inducendo un utente privilegiato a visitare il percorso URL modificato” ha scritto Patchstack nel suo rapporto.

Il plugin Advanced Custom Fields per WordPress è salvo?

È stata prontamente rilasciata una versione aggiornata (6.1.6) del plugin Advanced Custom Fields che ha risolto il problema della falla di sicurezza rilavata.

Gli utenti WordPress che hanno eseguito l’update alla nuova versione possono quindi utilizzare il plugin in tranquillità e sicurezza.

Aumento del numero di vulnerabilità di WordPress

WordPress, che questo mese festeggia il suo 20° compleanno, rimane il sistema di gestione dei contenuti più popolare al mondo, utilizzato dal 43,2% di tutti i siti web, secondo W3Techs.

A causa della sua popolarità e dell’altissimo numero di siti web che lo utilizzano, WordPress è diventato anche uno dei principali obiettivi degli hacker, pronti a sfruttare eventuali falle di sicuerzza nel sistema.

Un sondaggio Patchstack rileva che tra il 2020 e il 2021 c’è stato un aumento del 150% nel numero di vulnerabilità di WordPress segnalate.

“La forza di WordPress è che si tratta di software open source, con una comunità vastissima di sviluppatori che, quotidianamente, intervengono sia sul codice principale che su tutti i temi e plugin, per migliorarlo. Il fatto di essere un software open source rende però possibile l’accesso al codice anche da parte di malintenzionati in cerca di vulnerabilità da sfruttare per i loro scopi malevoli. Per questo è importante tenere sempre le proprie installazioni di WordPress aggiornate.”

Commenta Stefano di Prima, Senior Technical Web Hosting Product Manager di team.blue, il grande gruppo Europeo di cui fa parte Register.it.

Aggiunge anche “Il suggerimento che possiamo dare, a tutti coloro che non hanno le competenze per applicare le principali regole di sicurezza, o il tempo per verificare quotidianamente la presenza di aggiornamenti, è quello di migrare il proprio sito web su una piattaforma di hosting gestito dove la gestione della sicurezza e degli aggiornamenti è curata dal provider stesso, con figure esperte e software evoluti.”

Leggi anche “Come aumentare la sicurezza del tuo WordPress“

Hosting WordPress gestito. Aggiornamenti automatici e supporto di esperti

Come abbiamo visto WordPress è uno dei sistemi di gestione dei contenuti (CMS) più popolari al mondo è quindi un grande obiettivo per gli hacker. Si stima che la principale ragione degli attacchi a WordPress sia legata a vulnerabilità dovute al mancato aggiornamento dei plugin.

Le falle di sicurezza che via via vengono scoperte sono corrette soltanto mediante aggiornamenti, ma se il sistema non è aggiornato la falla rimane e gli hacker possono sfruttarla per “bucare” il sito web.

Non hai tempo per gestire e aggiornate costantemente il tuo sito WordPress?

L’Hosting WordPress Gestito di Register.it ti offre uno spazio in cui ospitare il tuo sito web con tutto il supporto necessario per assicurarti che il tuo sito web sia sempre aggiornato, sicuro e veloce.

Ad aggiornare il CMS e i plugin e a monitorare le performance del tuo sito web ci penseranno i nostri esperti!

Caratteristiche dell’Hosting WordPress gestito

• Aggiornamenti automatici di temi e plugin
• Monitoraggio delle performance e i tempi di risposta del sito web
• Backup orari
• Security shield (sql injection block, custom geoblock, brute force block, ip block, malware scanner).
• Ambiente di test del sito web
• 1 ora di assistenza dedicata per chiedere consigli e chiarimenti

Sfrutta la potenza e la versatilità di WordPress e affidati agli esperti di Register.it per la gestione del tuo sito web con WordPress Gestito.