back to top

Problemi di sicurezza per molti plugin di WordPress

Poter utilizzare un’applicazione rilasciata sotto licenza Open Source e molto semplice da installare come WordPress per la creazione di un sito Web rappresenta sicuramente una grande comodità, ma milioni di pagine Internet basate sul medesimo CMS hanno lo svantaggio di essere affette dalla medesima vulnerabilità fino a quando quest’ultima non viene risolta.

Ad alimentare il rischio è, nel caso specifico, la grande disponibilità di estensioni (molte delle quali libere e gratuite) per l’ampliamento delle funzionalità integrate, non a caso l’ultima problematica di sicurezza individuata in tale applicazione riguarderebbe proprio i plugin; per la precisione la minaccia attuale sarebbe quella di subire attacchi basati sulla tecnica denominata XSS (Cross-Site-Scripting).

Pubblicitร 

In sostanza un errore presente nella dcumentazione del Blog engine avrebbe portato gli sviluppatori all’uso scorretto di alcune funzioni, add_query_arg() e remove_query_arg(); presente nel "Codex" di WordPress dal 2009, tale inesattezza dovrebbe essere presente anche in estensioni implementate da sviluppatori di rilievo come "Jetpack", "All in One SEO" e "Google Analytics".

A scoprire l’accaduto sarebbe stato lo stesso WordPress Security Team in collaborazione con i componenti di Sucuri, su 400 plugin analizzati alla ricerca della vulnerabilità rilevata una quindicina di essi sarebbero risultati affetti da tale problematica; si consideri però che attualmente i titoli presenti nella directory del CMS sarebbero oltre 35 mila.

Per quanto riguarda le necessarie correzioni, le indicazioni errate sarebbero state rimosse e sostituite con la procedura richiesta per l’utilizzo di un’altra funzione, using esc_url(), un costrutto concepito appositamente per mettere WordPress al sicuro da utenti malintenzionati che vogliano veicolare istruzioni potenzialmente dannose via URL.

Iscriviti a Google News Per restare sempre aggiornato seguici su Google News! Seguici
Pubblicitร 
Claudio Garau
Claudio Garau
Web developer, programmatore, Database Administrator, Linux Admin, docente e copywriter specializzato in contenuti sulle tecnologie orientate a Web, mobile, Cybersecurity e Digital Marketing per sviluppatori, PA e imprese.

Leggi anche...

Google: con l’AI Mode crolla i traffico sui siti di news

Ormai possiamo dirlo con una certa sicurezza, il mondo...

Google rilascia Android 16

Android 16 รจ finalmente disponibile e inizia ora il...

Anthropic chiude il blog scritto da Claude AI poco dopo il lancio

รˆ durata veramente poco l'avventura di Claude Explains, il...

WhatsApp beta: riepiloghi dei messaggi con l’AI

Con la versione beta 2.25.18.18 di WhatsApp per Android,...

Aylo blocca l’accesso ai siti per adulti in Francia

I colossi dell'intrattenimento per adulti online Pornhub, YouPorn e...

Metร  dei giovani vorrebbero un mondo senza Internet

Una nuova e per molti versi sorprendente ricerca pubblicata...
Pubblicitร