WordPress: falla di sicurezza per famoso plugin, milioni di siti a rischio

WordPress ha recentemente proposto, con una certa urgenza, una patch correttiva che ha coinvolto più di 5 milioni di siti.

Questa azione tempestiva da parte del noto CMS è la conseguenza di una falla alquanto grave che ha coinvolto il noto plugin Jetpack, uno dei componenti aggiuntivi più popolari su questa piattaforma.

Jetpack offre una serie alquanto ampia di funzionalità, che spaziano dalla sicurezza al miglioramento delle performance, fino alla gestione dei backup: proprio questa sua duttilità, ha reso tale strumento molto apprezzato dai webmaster che si affidano a WordPress.

Secondo quanto riferito da Jeremy Herve, ingegnere di Automatic “”Durante un controllo di sicurezza interno, abbiamo riscontrato una vulnerabilità con l’API disponibile in Jetpack dalla versione 2.0, rilasciata nel 2012” aggiungendo poi come “Questa vulnerabilità potrebbe essere utilizzata da malintenzionati per manipolare qualsiasi file nell’installazione di WordPress“.

Problemi di sicurezza con Jetpack: 5 milioni di siti a rischio

Per capire la portata di questa falla, basta pensare come, al 30 maggio, Jetpack 12.1.1 è stato scaricato e installato su più di 4.350.000 siti Web. Di fatto, quasi il 45% dei siti WordPress lavora con questo plugin installato.

Sempre secondo Herve, non vi sono prove che qualche cybercriminale abbia sfruttato in passato questa falla. Ovvio che, con l’aggiornamento del plugin, la visibilità concessa a tale vulnerabilità che potrebbe attirare qualche attenzione indesiderata.

Lo stesso ingegnere ha poi lanciato un messaggio all’utenza “Aggiorna la tua versione di Jetpack il prima possibile per garantire la sicurezza del tuo sito. Per aiutarti in questo processo, abbiamo lavorato a stretto contatto con il team di sicurezza di WordPress.org per rilasciare versioni con patch di ogni versione di Jetpack dalla 2.0. La maggior parte i siti Web sono stati o saranno presto aggiornati automaticamente a una versione protetta“.

Plugin WordPress a rischio? Quello di Jetpack non è un caso isolato

Casi come quello appena descritto non sono una rarità in ambiente WordPress.

A giugno 2022, per esempio, il plugin Ninja Forms ha presentato una falla che ha portato gli sviluppatori del noto CMS a forzare l’installazione di un’apposita patch.

Nei due casi, però vi sono delle sostanziali differenze. In primis, la vulnerabilità di Ninja Forms era già stata sfruttata per attacchi mirati. In seconda battuta, questo plugin presentava un numero di installazioni decisamente più contenuto rispetto a Jetpack.