Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

L'ANALISI TECNICA

Una grave vulnerabilità nel plugin Jetpack per WordPress mette a rischio milioni di siti: tutti i dettagli

È stata scoperta una grave vulnerabilità nel plugin Jetpack per WordPress, utilizzato su oltre 5 milioni di siti Web per attivare una valida protezione da malware e attacchi di tipo brute force. Ecco tutti i dettagli e i consigli per rimettere in sicurezza il prima possibile il proprio sito Web

21 Nov 2019

È stata scoperta una grave vulnerabilità in Jetpack, il noto plugin per WordPress che ad oggi registra ben 5 milioni di installazioni attive e che consente di aggiungere numerose funzionalità per la sicurezza dei siti: oltre a utili strumenti di backup e controllo degli accessi, infatti, Jetpack integra anche una valida protezione da malware e da attacchi di tipo brute force.

La vulnerabilità nel plugin Jetpack è stata scoperta dal ricercatore Adham Sadaqah e prontamente segnalata in modo responsabile agli sviluppatori di Automattic, la società che sta dietro al portale WordPress.com e che ha fornito notevoli contributi allo sviluppo dello stesso WordPress.

Dettagli della vulnerabilità nel plugin Jetpack per WordPress

Al momento non sono stati rilasciati ulteriori informazioni tecniche in merito alla vulnerabilità di Jetpack. Si sa solo che la falla di sicurezza è stata riscontrata nel modo in cui Jetpack elabora alcune porzioni di codice embedded.

Nella nota di aggiornamento pubblicata sul sito stesso del plugin, gli sviluppatori comunicano che la falla è presente fin dalla versione 5.1 rilasciata a luglio 2017 e consigliano agli amministratori dei siti basati su WordPress di installare il prima possibile l’ultima versione di Jetpack, la 7.9.1, contenente la patch di sicurezza.

Gli stessi sviluppatori fanno sapere che la vulnerabilità non sembra essere stata sfruttata “in natura”, ma secondo loro ora che l’aggiornamento è stato rilasciato è solo una questione di tempo prima che qualche criminal hacker cerchi di sfruttarla a proprio vantaggio.

Il team di sviluppo di Jetpack, inoltre, ha comunicato di aver lavorato a stretto contatto con il team di sicurezza di WordPress.org per rilasciare una patch per ogni versione di Jetpack sia della serie 5.1.x sia della serie 7.x.x.

Come applicare la patch

Nella nota di aggiornamento di Jetpack si legge che “la maggior parte dei siti web sono stati o saranno presto aggiornati automaticamente a una versione sicura” mediante la procedura automatica di WordPress.

Nel caso in cui gli aggiornamenti automatici fossero stati disattivati nel file di configurazione del CMS, è possibile procedere manualmente all’aggiornamento di Jatpack tramite la Bacheca presente nel pannello di controllo di WordPress oppure scaricando manualmente il file ZIP contenente i file di installazione e procedendo poi al trasferimento degli stessi tramite FTP.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5