Tra le piattaforme più utilizzate per creare siti troviamo sicuramente WordPress. Nonostante sia molto utile e facilmente intuibile, è pure essa però soggetta a vulnerabilità. Una è stata rilevata proprio in queste ore.
Indice [Chiudi]
National Vulnerability
La National Vulnerability Database ha annunciato che è stata scoperta una vulnerabilità di tipo Stored Cross-Site Scripting (XSS) in un popolare plugin di Google Analytics per WordPress installato su oltre 3 milioni di siti. L’attacco di Cross-Site Scripting (XSS) si verifica generalmente quando una parte del sito web che accetta l’input dell’utente non è sicura e consente input imprevisti, come script o link.
Vulnerabilità XSS
La vulnerabilità XSS può essere sfruttata per ottenere accesso non autorizzato a un sito web e può portare al furto dei dati degli utenti o al completo controllo del sito. L’Open Worldwide Application Security Project (OWASP), un’organizzazione no-profit per la sicurezza delle applicazioni, ha descritto come funziona la vulnerabilità XSS, andiamo quindi a vedere il loro annuncio a riguardo.
WordPress, scoperta un’altra vulnerabilità: cosa bisogna fare
A parlare sulla falla di WordPress ci ha pensato l’Open Worldwide Application Security Project. In merito l’associazione ha affermato i cybercriminali possono utilizzare XSS per inviare uno script malevolo a un utente ignaro.
In questo modo il browser dell’utente finale non ha modo di sapere che lo script non deve essere considerato affidabile e lo eseguirà.
Il browser quindi non avrà la possibilità di ritenere che lo script provenga da una fonte fidata, e per questo script malevolo può accedere a qualsiasi cookie, token di sessione o altre informazioni sensibili memorizzate dal browser.
Una Stored XSS, che è considerata ancora più grave, si verifica quando lo script malevolo è memorizzato sui server del sito web stesso.
Il plugin, MonsterInsights – Google Analytics Dashboard for WordPress, è stato scoperto come versione vulnerabile di Stored XSS ed è installato su oltre tre milioni di siti web, per questo motivo è parecchio pericolosa come vulnerabilità.
A risolvere questa falla ci ha pensato Patchstack.
Fortunatamente è arrivato un rimedio per tutti gli utenti colpiti. Questa vulnerabilità è stata risolta nella versione 8.14.1.
WordPress ha pubblicato una pagina intera dedicata all’accorgimento per la sicurezza, che raccomanda attività come il backup regolare del database, l’ottenimento di temi e plugin da fonti fidate e l’uso di password robuste. Tutte queste attività rientrano nell’accorgimento per la sicurezza.
