È successo un gran casino…

ATTENZIONE: questo articolo è stato scritto oltre un anno fa, ed i contenuti potrebbero non essere più validi o compatibili. Sei pregato di tenerne conto, e se hai informazioni in merito di segnalarmele, grazie.

Numerosi plugin WordPress vulnarebili per XSS (Cross-Site Scripting)

Potrebbe andar peggio, potrebbe piovere!

Nelle ultime ore è nato un caso, che ti riassumo per farla breve: come riportano numerosi siti, a quanto pare un numero imprecisato di plugin per WordPress, ma sarebbero davvero tantissimi, contengono una vulnerabilità di tipo XSS a causa di indicazioni errate nelle pagine del codex di WordPress, che di fatto è la bibbia degli sviluppatori su questa piattaforma.

I plugin coinvolti sono tanti e riguardano pure i più noti e utilizzati, come Jetpack (tutto dire, visto che sviluppato dalla stessa azienda di WordPress), WordPress SEO Google Analytics by Yoast, All in One SEO, Gravity Forms, WPtouch, UpdraftPlus, WP-E-Commerce, P3 Profile, Broken Link Checker e numerosi altri.

Molti sono già corsi al riparo rilasciando tempestivamente un aggiornamento risolutore.

È il caso di Jetpack, WordPress SEO, All in One SEO e diversi altri, ed è prevedibile che nelle prossime ore sarà tutto un rilascio di aggiornamenti anche per gli altri.

E ora, che bisogna fare?

Inutile drammatizzare o fasciarsi la testa prima del tempo, basta avere l’accortezza di controllare un po’ più spesso la bacheca del proprio WordPress, e applicare gli aggiornamenti via via che vengono rilasciati.

Naturalmente con le dovute cautele, che tradotto significa un bel backup che al bisogno ti toglie dai guai!

Potrebbe essere l’occasione giusta per andare a verificare lo stato dei plugin utilizzati, e magari pure del tema, e valutare la rimozione di quelli che non vengono più aggiornati da parecchio tempo, che potrebbero contenere questo ed altri problemi.

Riassumendo:

  1. Tenere aggiornati WordPress, temi e plugin è importante!
  2. Cancellare fisicamente dall’installazione temi e plugin non utilizzati!
  3. Cercare alternative per temi e plugin che non vengono più aggiornati!
  4. Pianificare un backup regolare e verificato, in funzione dei tempi di aggiornamento dei contenuti del sito!

Per saperne di più: SucuriWP White SecurityWP Tavern

Tags: , , , , ,

Trackbacks/Pingbacks

  1. √ Settimana difficile per siti WordPress | Roberto Rota - 22 Apr 2015

    […] poi è stata davvero una giornata difficile, aggiornamenti di plugin come se piovesse, tutta una corsa a riparare una vulnerabilità generale, che riguarda praticamente tutti. Una […]

Dubbi o suggerimenti? Lascia un commento!

I love Instagram