Wordpress, la piattaforma Cms più diffusa al mondo, è di nuovo in pericolo. I ricercatori di Sucuri hanno pubblicato l’evidenza di una falla presente nel plugin Jetpack, estensione da circa un milione di installazioni attive che permette di ottimizzare in modo gratuito i siti Web, grazie a funzionalità di gestione e (sembra paradossale) di sicurezza. La buona notizia è che l’azienda che sviluppa Jetpack, la stessa di Wordpress, ha rilasciato una nuova versione (4.0.3) contenente una patch in grado di risolvere il problema. Il bug è rimasto in circolazione sin dall’avvento della release 2.0, quindi dal 2012, ma per fortuna sembra che non si siano verificati exploit. La vulnerabilità è di tipo cross-site scripting (Xss) persistente e riguarda il modulo Shortcode Embeds di Jetpack, che permette di inserire video, immagini, documenti e altri contenuti esterni nelle pagine create con Wordpress.
La falla, sottolineano i ricercatori di Sucuri, può essere facilmente sfruttata per aggiungere codice Javascript malevolo nei commenti. Il principale problema è che questo linguaggio di programmazione è persistente e, quindi, lo script dannoso viene eseguito ogni volta che l’utente visualizza il commento “incriminato”.
Un hacker potrebbe in questo modo accedere agli account degli amministratori, modificandoli, inserire spam Seo per le pagine colpite e addirittura indirizzare in automatico i visitatori su altri siti Web compromessi. Wordpress prevede un sistema di aggiornamento automatico dei plugin, che consente di ricevere le ultime versioni rilasciate dagli sviluppatori.
In caso non si riesca a ricevere l’annuncio di update automatico, è possibile procedere in modo manuale tramite la Dashboard del Cms o utilizzando un Ftp. I creatori di Jetpack hanno pubblicato una serie di Faq, disponibili a questa pagina, per aiutare i clienti a risolvere in modo definitivo il problema. Ovviamente, i siti che non sfruttano le funzionalità del plugin non possono essere colpiti da questa nuova vulnerabilità.