Plugin WordPress vulnerabile: milioni di siti a rischio

WordPress è una piattaforma flessibile, ricca di possibilità anche grazie ai plugin. Gli stessi componenti, però, possono risolvere problemi e crearne di nuovi, anche involontariamente. Gli sviluppatori del popolare plugin WordPress Contact Form 7 hanno comunicato di aver individuato e corretto una grave vulnerabilità che avrebbe potuto esporre milioni di siti.

Il problema riguardava l’upload di file senza restrizioni. Sfruttandolo, un aggressore poteva ottenere il controllo e aggiungere al sito script dannosi in grado di sottrarre informazioni sia dal sito sia dai suoi visitatori. In pratica, un hacker poteva caricare una shell e aggirare i permessi dell’amministratore, arrivando fino al controllo completo del sito, dei database e di altre risorse.

La vulnerabilità non era stata resa pubblica per due motivi. Prima di tutto, gli sviluppatori dovevano individuare la falla e correggerla il più rapidamente possibile; ci lavoravano dal rilascio dell’ultima versione. Inoltre, divulgarne i dettagli avrebbe fornito indicazioni utili agli aggressori, aumentando il rischio di attacchi da parte di chi non ne era ancora a conoscenza.

La falla ora è stata chiusa. Gli sviluppatori consigliano di installare la nuova versione di Contact Form 7, perché le versioni precedenti restano vulnerabili. Il merito della segnalazione va ai ricercatori di Astra, che analizzano regolarmente la sicurezza di diversi sistemi. 

Il plugin consente di creare moduli di contatto di qualsiasi dimensione e complessità, semplificando la raccolta dei dati sul sito. Oggi è usato da oltre 5 milioni di siti, incluso neobux com, quindi una risposta rapida ai problemi di sicurezza e la correzione della falla erano essenziali.