Un popolare plugin, WP Fastest Cache, del costruttore di siti web WordPress è stato recentemente al centro delle attenzioni per una grave falla di sicurezza che potrebbe permettere agli attori minacciosi di rubare dati sensibili dal database del sito. La piattaforma Plugin Vulnerabilities, che si occupa dell’analisi della sicurezza dei plugin di WordPress, ha rilevato che lo sviluppatore di WP Fastest Cache (un plugin con oltre un milione di installazioni) ha apportato una modifica al repository Subversion che sta alla base della Directory dei Plugin di WordPress. Questa correzione era destinata a risolvere una vulnerabilità di iniezione SQL che consentiva l’esecuzione di codice SQL arbitrario sul sito web, con la conseguente possibilità di leggere i contenuti del database di WordPress.
C’è una soluzione?
La notizia meno rassicurante è che, al momento della pubblicazione, lo sviluppatore non ha rilasciato una nuova versione del plugin, lasciando così la correzione inaccessibile al pubblico. L’ultima versione disponibile era la 1.2.1, motivo per cui i ricercatori hanno suggerito di disabilitare il plugin o sostituirlo manualmente fino a quando non sarà disponibile una soluzione. Tuttavia, il sito web di Fastest Cache indica la versione 1.2.2 come l’ultima, il che potrebbe significare che lo sviluppatore ha nel frattempo pubblicato l’aggiornamento.
Purtroppo, il changelog non fornisce quasi dettagli, limitandosi a menzionare alcuni “miglioramenti della sicurezza”, rendendo difficile stabilire se il problema sia stato effettivamente risolto. Plugin Vulnerabilities ha contattato lo sviluppatore Emre Vona per informarlo della falla.
WordPress è generalmente considerato un costruttore di siti web sicuro, ma tra le migliaia di plugin disponibili, sia gratuiti che commerciali, molti presentano difetti e sono sfruttati quotidianamente per compromettere centinaia di siti web.
Migliorare la sicurezza del proprio sito
Per gli utenti di WordPress, è fondamentale mantenere i plugin aggiornati e monitorare le notizie relative alla sicurezza. Disabilitare i plugin vulnerabili e sostituirli con alternative sicure è una pratica consigliata in attesa di aggiornamenti ufficiali, quindi fatelo anche con WP Fastest Cache adesso. Inoltre, è utile seguire le discussioni nei forum di supporto e i changelog per restare informati sulle ultime novità in materia di sicurezza.
