Una vulnerabilità di un plugin di WordPress ha rischiato di causare danni enormi a milioni di utenti che si affidano alla piattaforma per la gestione e la pubblicazione dei propri contenuti web. WordPress è utilizzato su scala globale per la realizzazione di siti web e presenta un sistema di plugin, che consente di aggiungere funzionalità in base alle proprie esigenze.

Uno di questi plugin, denominato UpdraftPlus, presentava una vulnerabilità potenzialmente pericolosissima. Il plugin viene utilizzato per il backup e il ripristino rapido di un sito web con WordPress. La falla presente nel plugin consentiva a utenti anche senza privilegi di amministrazione di poter scaricare l’intero database del sito web e tutti i dati in esso custoditi, senza alcuna limitazione.

Il bug del plugin consentiva, inoltre, di modificare i privilegi di amministrazione di altri utenti anche in questo caso senza aver alcun’autorizzazione. Ricordiamo che non è la prima volta che un bug di un plugin mette a rischio centinaia di migliaia di siti.

La falla del plugin UpdraftPlus è stata rilevata lo scorso giovedì dal ricercatore Marc Montpas di Jetpack. Dopo la segnalazione, WordPress ha avviato il rilascio di una patch di sicurezza che nel giro di 24 ore ha raggiunto un totale di 3 milioni di siti web, chiudendo la vulnerabilità e mettendo al sicuro i relativi database.

Al momento, non sono emersi dettagli relativi a possibili violazioni di database legate allo sfruttamento del bug. Il fix è stato distribuito e, quindi, i siti web che utilizzavano il plugin sono ora al sicuro. Per ulteriori dettagli tecnici relativi alla vulnerabilità di UpdraftPlus potete fare riferimento a questo link dove, sul blog di Jetpack, viene descritto il problema.