Falla in WordPress: hacker attaccano il famoso CMS per siti web attraverso noto plugin

WordPress è una piattaforma per creare e gestire siti web fra le più sicure, ma in alcuni casi hacker e malintenzionati riescono comunque a scovare falle che lo rendono vulnerabile. 

Ciò avviene soprattutto grazie ai tanti plugin che vengono realizzati per WordPress. Due aziende di cyber-sicurezza hanno rilevato nei giorni scorsi attacchi hacker basati sulla vulnerabilità zero-day che si trova in un plugin molto popolare, denominato “Easy WP SMTP”. Questo plugin ha oltre 300.000 installazioni, per tanto sono molti gli utenti a rischio. 

Il problema è stato segnalato all’autore del plugin, che ha corretto lo zero-day con il rilascio della nuova versione del plugin 1.3.9.1. Per tanto è importante che gli utenti che utilizzano wordpress e questo plugin aggiornino quest’ultimo con la nuova release. Gli attacchi tuttavia non si sono fermati ma sono proseguiti per tutta la settimana: gli hacker cercano di prendere in ostaggio il maggior numero di siti che possono prima che i proprietari riescano ad applicare la patch.

Secondo Defiant, gli attacchi sfruttano la funzione di esportazione/importazione delle impostazioni che è stata aggiunta al plugin Easy WP SMTP nella versione 1.3.9. Gli hacker hanno trovato un errore nel codice di questa nuova funzione che permette loro di modificare le impostazioni generali di un sito, non solo quelle relative al plugin.

Durante gli attacchi, gli hacker hanno modificato l’opzione “wp_user_roles” che controlla le autorizzazioni dell’utente sui siti WordPress, attribuendosi a loro piacimento le stesse capacità di un account amministratore. Ciò significa che possono registrare nuovi account che risultano essere normali utenti WordPress, ma che in realtà hanno le autorizzazioni e le capacità di un account amministratore.

Per contrastare il problema, oltre all’aggiornamento del plugin alla versione 1.3.9.1, si raccomanda il controllo della sezione “Utenti” e la verifica di eventuali nuovi iscritti.

Articolo di Francesco Ladisa

SEGUI INMETEO SU FACEBOOK