Milioni di siti WordPress ricevono un aggiornamento automatico forzato per correggere il difetto di sicurezza

Cosa è appena successo? La scorsa settimana la maggior parte di due milioni di siti WordPress ha ricevuto un aggiornamento di sicurezza forzato a causa di un grave difetto in un plug-in utilizzato per il backup dei dati. La vulnerabilità potrebbe consentire a utenti non autorizzati di scaricare backup di siti WP.

Giovedì scorso, è stato pubblicato un aggiornamento di sicurezza per il plug-in UpdraftPlus per i siti WordPress per risolvere una vulnerabilità critica. Gli sviluppatori pensavano che il difetto fosse abbastanza urgente da giustificare un aggiornamento forzato.

UpdraftPlus viene utilizzato per semplificare il download e il ripristino dei backup dei siti WordPress. Gli sviluppatori di JetPack, durante un audit interno di UpdraftPlus, hanno riscontrato una vulnerabilità in un controllo delle autorizzazioni mancante che potrebbe consentire a utenti non autorizzati di accedere a tali backup. Di solito, solo gli amministratori dovrebbero avervi accesso. Secondo i grafici di UpdraftPlus, circa 1,7 milioni di siti hanno scaricato l'aggiornamento giovedì.

Sia JetPack che UpdraftPlus hanno pubblicato avvisi sul difetto. I siti che crittografano i loro backup sono meno a rischio e gli sviluppatori di UpdraftPlus notano che WordPress esegue l'hashing delle password memorizzate, il che dovrebbe proteggerle dagli hacker che ottengono backup non crittografati. JetPack afferma che la maggior parte dei siti WordPress è stata aggiornata e sollecita coloro che non devono installare l'ultima patch UpdraftPlus.

Gli exploit dei plugin di WordPress stanno diventando un problema sempre più grave. Un rapporto di un gruppo di sicurezza del mese scorso ha affermato che nel 2021 sono state segnalate più vulnerabilità rispetto al 2020 e che tre quarti dei difetti dei plug-in avevano exploit noti.