Un importante passo per garantire la sicurezza dei siti web basati su WordPress è stato compiuto proprio nei giorni scorsi, grazie all’intervento di Automattic, l’azienda proprietaria che ne detiene la manutenzione. Con il supporto del WordPress Security Team, infatti, è stata avviata un’operazione di installazione forzata di una patch di sicurezza su un vasto numero di siti web, al fine di affrontare una vulnerabilità critica riscontrata nel famoso plugin Jetpack.
Indice degli argomenti
Jetpack si aggiorna in automatico per una vulnerabilità critica
Jetpack, uno dei plugin più popolari e ampiamente utilizzati per migliorare la sicurezza, le prestazioni e la gestione dei siti web, offre una gamma di funzionalità che comprende backup del sito, protezione da attacchi di forza bruta, accessi sicuri, scansione malware e diverse altre funzioni.
Secondo il repository ufficiale dei plugin di WordPress Jetpack, sviluppato e mantenuto da Automattic, vanta oltre 5 milioni di installazioni attive in tutto il mondo.
Durante un’audizione interna sulla sicurezza, Jeremy Herve, ingegnere sviluppatore di Automattic, ha scoperto una vulnerabilità nell’API disponibile in Jetpack sin dalla versione 2.0, rilasciata nel lontano 2012. Questa vulnerabilità consentiva agli autori di un sito di manipolare qualsiasi file nell’installazione di WordPress, rappresentando un grave rischio per la sicurezza dei siti web.
Per affrontare questa criticità, Automattic ha sviluppato una patch di sicurezza denominata Jetpack 12.1.1, la quale viene attualmente installata automaticamente su tutti i siti WordPress che utilizzano il plug-in Jetpack. L’operazione di distribuzione della patch è iniziata il 30 maggio scorso ed è già stata completata su oltre 4.130.000 siti che utilizzano Jetpack da versioni successive alla 2.0.
Grazie a questa massiccia operazione di installazione forzata, la maggior parte dei siti vulnerabili è stata automaticamente aggiornata all’ultima versione sicura del plugin Jetpack. I siti rimanenti saranno presto corretti, garantendo una copertura completa e una protezione adeguata.
Nonostante non siano stati segnalati attacchi derivanti da questa vulnerabilità, Jeremy Herve ha sollecitato gli amministratori dei siti web a verificare attentamente la sicurezza dei propri siti. La diffusione dei dettagli sulla falla potrebbe attirare l’attenzione di potenziali aggressori, che potrebbero tentare di sfruttare la vulnerabilità su siti WordPress non ancora aggiornati.
La mitigazione del rischio
Herve ha dichiarato: “Non abbiamo riscontri che questa vulnerabilità sia stata sfruttata in modo fraudolento. Tuttavia, ora che l’aggiornamento è stato rilasciato, è possibile che qualcuno cerchi di approfittare di questa falla. Invitiamo, quindi, gli amministratori dei siti ad aggiornare quanto prima la loro versione di Jetpack per garantire la sicurezza del proprio sito.”
Per agevolare il processo di aggiornamento, Automattic ha collaborato strettamente con il WordPress.org Security Team per fornire versioni corrette di Jetpack per tutte le versioni dalla 2.0 in poi. In questo modo, la maggior parte dei siti web è stata o sarà presto aggiornata automaticamente a una versione sicura, riducendo il rischio di possibili attacchi.
Questa operazione di installazione forzata di una patch di sicurezza su milioni di siti WordPress rappresenta un ulteriore sforzo da parte di WordPress stessa per garantire la protezione degli utenti e dei loro siti web. Già in passato l’azienda ha adottato approcci simili per correggere problemi critici nei plugin e nelle installazioni di WordPress, dimostrando il suo impegno per la sicurezza e la stabilità della piattaforma.
Gli amministratori dei siti web basati su WordPress sono caldamente invitati ad aggiornare immediatamente il plugin Jetpack alla versione sicura più recente al fine di preservare la sicurezza dei propri siti.
Ricordiamo che maggiori informazioni su questa patch di sicurezza e sul processo di aggiornamento possono essere trovate sul sito ufficiale del plugin.