In questi giorni ci sono dei plugin molto pericolosi in giro, che stanno causando danni a parecchi siti WordPress.
Primo fra tutti il plugin Related Posts di Lenin Zapata, noto anche come Yuzo Related Posts, un plugin che conta più di 60.000 installazioni (anche se non è detto che sia ancora attivo su tutte).
Il plugin è stato rimosso dalla directory ufficiale di wordpress.org lo scorso 30 marzo
La sua vulnerabilità è stata resa nota da qualche scellerato prima che gli autori, nel caso fossero ancora attivi, potessero porvi rimedio (cosa per altro non avvenuta, almeno ad ora).
Controlla, e se lo stai usando rimuovilo immediatamente.
Nel frattempo si è scatenata la caccia, da parte dei soliti malintenzionati del web, ai siti che ospitano questo plugin per fargli eseguire codice malevolo, e nell’ultimo fine settimana ne ho bonificati una mezza dozzina.
Ma non è l’unico plugin con problemi gravi segnalato in questi giorni.
Visual CSS Style Editor di YellowPencil ha problemi simili, ed è stato eliminato da wordpress.org lo scorso 8 Aprile.
Il fatto è che anche questo plugin è parecchio diffuso, con circa 30.000 installazioni.
Se stai utilizzando il plugin Visual CSS Style Editor di YellowPencil rimuovilo immediatamente.
Altri plugin sono stati segnalati per vulnerabilità più o meno gravi.
Questi però sono stati corretti, con aggiornamenti di sicurezza, prima che la vulnerabilità fosse resa pubblica (di qui l’importanza di avere sempre sistemi aggiornati).
Aggiornamento 17-4-19
Riguardo il plugin Visual CSS Style Editor di YellowPencil, Pier Paolo nei commenti segnala una possibile soluzione, che però prevede la sostituzione manuale del plugin incriminato con una nuova versione, che sembra essere stata messa in sicurezza, in attesa che il plugin ritorni nella directory di WordPress.
Aggiornamento 24-4-19
Sempre riguardo il plugin Visual CSS Style Editor di YellowPencil, il plugin è stato aggiornato e ripristinato nella directory di WordPress. Nel changelog si parla appunto di aggiornamenti di sicurezza.
Una buona manutenzione di WordPress aiuta e previene.
I titolari dei siti, specie quelli realizzati in proprio, hanno sicuramente di meglio da pensare e non si preoccupano dello stato dei temi e dei plugin installati, facile quindi avere un sito vulnerabile e non saperlo.
Un servizio di Assistenza WordPress professionale, unito ad un buon piano di manutenzione WordPress ti permettono di aver sempre monitorato lo stato di salute e di sicurezza del tuo sito, di essere informato tempestivamente in caso di problemi, in particolar modo quelli riguardanti la sicurezza, e naturalmente d poter contare su soluzioni tempestive ed efficaci.
6 risposte
Grazie per questi puntualissimi avvisi!
Per la cronaca, leggo sul sito di wordpress.org (https://wordpress.org/support/topic/yellowpencil-important-security-update/) il commento di Yellow Pencil:
“Hi Everbody,
YellowPencil plugin gets hack attack. We fixed the vulnerability with 7.2.0 version. We are so sorry about it.
The plugin currently is not available in CodeCanyon and WordPress directory so you are not able to get auto updates. We are working hard on it, the plugin will available again in the coming days. For now, you can download the latest version from this page. We added a direct download link there.”
ed il link al quale fanno riferimento è il seguente:
https://yellowpencil.waspthemes.com/docs/important-security-update/
Chissà se hanno risolto tutto…
Grazie a te per le informazioni, preziose, aggiorno il post prima possibile
rob
Grazie mille, Roberto, per i tuoi consigli! Sei sempre tempestivo e chiaro!
Grazie a te! 😉
Preziose informazioni come.sempre
Grazie 🙂