L'FBI (Federal Bureau of Investigation) raccomanda di aggiornare Wordpress per evitare il rischio di attacchi da parte dell'ISIS o suoi simpatizzanti. Il rischio è che il sito Wordpress sia sfigurato (defacing) e al suo posto compaia una pagina o un messaggio a sostegno dei combattenti dello "Islamic State in the Levant" (o ISIL appunto, noto anche come ISIS).
Gli attacchi sono già in corso in tutto il mondo, spiega la nota dell'FBI, ai danni di siti di ogni genere e nazionalità. Sfruttano una vulnerabilità XSS (cross-site scripting) nel plugin WordPress Super Cache. Il bug colpisce le versioni 1.4.3 e precedenti, che secondo le statistiche sono state installate più di un milione di volte.
Il problema riguarda quindi i siti realizzati con Wordpress dov'è presente il plugin citato in una delle versioni vulnerabili, che secondo il ricercatore Alexandre Montpas permettono l'inserimento di script pericolosi nella lista dei file creata dal plugin stesso.
"Una volta eseguiti, gli script inseriti si possono usare per fare molte cose, come aggiungere altri account di amministrazione, o iniettare backdoor usando gli strumenti per modificare i temi di WordPress", commenta Montpas.
Il pericolo è particolarmente rilevante per siti istituzionali o aziendali, che ricevono le visite di molti utenti e che di conseguenza renderebbero particolarmente visibile il messaggio indesiderato. Fortunatamente la procedura di aggiornamento è molto semplice, e nel caso di incompatibilità è sempre possibile disattivare il plugin a rischio.