È stata individuata una vulnerabilità in Yoast SEO, plugin tra i più popolari, che riguarda le versioni 11.5 e precedenti.
La vulnerabilità, del tipo Authenticated Stored XSS, è stata risolta con la versione 11.6.
Se utilizzi Yoast SEO sul tuo wordPress, è bene che controlli la versione in uso.
In questi giorni ci sono dei plugin molto pericolosi in giro, che stanno causando danni a parecchi siti WordPress.
Primo fra tutti il plugin Related Posts di Lenin Zapata, noto anche come Yuzo Related Posts, un plugin che conta più di 60.000 installazioni (anche se non è detto che sia ancora attivo su tutte).
Il plugin è stato rimosso dalla directory ufficiale di wordpress.org lo scorso 30 marzo
La sua vulnerabilità è stata resa nota da qualche scellerato prima che gli autori, nel caso fossero ancora attivi, potessero porvi rimedio (cosa per altro non avvenuta, almeno ad ora).
Controlla, e se lo stai usando rimuovilo immediatamente. Continua a Leggere →
WPScan segnala una vulnerabilità di tipo “privilege escalation” riguardante WooCommerce versione 3.4.5 e precedenti.
La vulnerabilità è stata risolta già dalla versione 3.4.6.
La fonte è attendibile, perciò se si utilizza ancora WooCommerce 3.4.5 (o versioni precedenti) è bene provvedere all’aggiornamento prima possibile.
La versione attuale di WooCommerce è la 3.5.1.
WordPress 4.7.2 risolve un grave problema di sicurezza, e altri un po’ meno gravi ma pur sempre importanti, Sucuri lo spiega molto bene, seppur in inglese.
Poi c’è l’uso scriteriato di temi e plugin per nulla affidabili, poco testati, o che non vengono più aggiornati da anni.
Aggiungici pure hosting economici, ed installazioni effettuate senza nessuna attenzione alla sicurezza, ed il quadro è (quasi) completo.
Siti aziendali, realizzati da professionisti del settore come dai cugini di turno, abbandonati a se stessi una volta messi on line.
Manutenzione?
Ma quando mai, almeno finché il sito non te lo bucano, o quando l’e-commerce smette di funzionare. Continua a Leggere →
È stata rilasciata la nuova versione di mantenimento per WordPress 4.2.3 che corregge tanti bug ma anche una grave vulnerabilità di tipo XSS, definita critica dallo stesso staff di sviluppo.
La vulnerabilità riguarda anche le versioni precedenti di WordPress, per questo motivo sono state rilasciate anche le versioni 4.1.6, 4.0.6, 3.9.7, 3.8.9 e 3.7.9, tutte scaricabili dall’archivio delle versioni di WordPress.
Se hai lasciato attivo l’aggiornamento automatico, almeno per le versioni di mantenimento, dovresti ritrovarti WordPress aggiornato già ora o al massimo entro breve.
Se invece preferisci aggiornare il tuo sistema con maggiore sicurezza, troverai l’aggiornamento alla versione 4.2.3 direttamente segnalato in bacheca, mentre per le precedenti dovrai procedere con un aggiornamento manuale di WordPress.
Come al solito in caso di qualsiasi aggiornamento, procedi con cautela ed effettua sempre un backup completo prima di procedere!
