Aggiornato il: 08-05-2020 17:16
Tutti i siti che girano in wordpress versione hosted e che usano il pluguin MailPoet (un plugin per creare newsletter, con oltre 1.700.000 download), sono soggetti a possibili attacchi da parte di un intruso o utente malevolo che potrebbe disporre del controllo quasi completo sul server del sito vittima. Un aspetto che interessa quindi sia webmaster che (soprattutto) hosting condivisi, che dovrebbero controllare sui propri server la presenza di questo plugin globalmente, e verificare che sia stato aggiornato da tutti.
- Leggi anche: i migliori plugin per WordPress
Secondo Sucuri ogni sito che possieda questa configurazione è potenzialmente vulnerabile, visto che un attaccante potrebbe caricare file arbitrari sul server. Non sono attualmente disponibili dettagli ulteriori sull’attacco, che comunque si basa sul fatto che qualsiasi chiamata a wp-admin/admin-post.php esegue un hook potenzialmente fallato e senza che sia richiesta l’autenticazione. Questa in sostanza dovrebbe essere l’handle utilizzato dagli attaccanti per sferrare questo ennesimo tentativo di violare la sicurezza di un sito WordPress. Dalla versione del plugin 2.6.7 la falla è stata risolta ed è opportuno, quindi, passare ad aggiornarla prima che si può, ammesso che utilizziate MailPoet ovviamente.
Ancora una volta si deve quindi ribadire l’importanza di installare per tempo gli aggiornamenti di WP, sia WP che soprattutto plugin e theme.
