Home
  1. Informatica
  2. Wordpress 4.7.2 aggiornamento urgente. Trovate falle alla sicurezza

Wordpress 4.7.2 aggiornamento urgente. Trovate falle alla sicurezza

Come aggiornare all'ultima versione Wordpress e risolvere il problema di sicurezza

Wordpress 4.7.2. Il team di Wordpress ha rilasciato un aggiornamento urgente del CMS, per risolvere delle falle alla sicurezza.

    

Foto: Pixabay.com

La nuova versione Wordpress 4.7.2 è un aggiornamento sulla sicurezza urgente. Disponibile dal 26 gennaio 2017, risolve quattro falle alla sicurezza generate dallo stesso team di sviluppo inconsapevolmente. Uno di questi problemi, il più grave di tutti, permetteva a chiunque di poter penetrare nel sito web Wordpress senza autenticarsi e di modificare le pagine del sito e il loro contenuto. La falla è stata creata nella versione Wordpress 4.7.1 ed ha interessato le REST API.

In molti sapranno che dalla versione Wordpress 4.0, le REST API sono parte integrante della piattaforma CMS. Allo stesso tempo, le REST API, sono ancora in fase di sviluppo e di miglioramento e accade che qualche errore possa mettere a repentaglio la sicurezza di milioni di siti web nel mondo.

Le quattro falle nella sicurezza di Wordpress

Di seguito le quattro criticità nella sicurezza, risolte con la versione di Wordpress 4.7.2.

  • L'interfaccia utente della tassonomia veniva mostrata anche a quegli utenti che non ne avevano i privilegi.
  • Riscontrata una vulnerabilità nel database. WP_Query è risultato vulnerabile a una SQL injection (SQLi), quando si trasmettono dati non sicuri. La vulnerabilità poteva essere creata dai plugins e dai temi installati dall'utente.
  • Scoperta una vulnerabilità cross-site scripting, XSS, in posts list table.
  • Scoperta una vulnerabilità nell'acquisizione di privilegi da parte di un utente non autenticato, in un endpoint REST API.

Le patch ai problemi di sicurezza sono state apportate con grande celerità e non hanno causato problemi a nessun sito. Questo grazie alla riservatezza che è stata posta sulle falle, fino al momento della loro risoluzione. Una prassi comune in Wordpress, seguita da quanti supportano lo sviluppo del CMS, è di non divulgare una vulnerabilità scoperta e segnalarla al team di sviluppo per porvi rimedio.

Come comportarsi se hai un sito Wordpress

Nella stragrande maggioranza dei casi la piattaforma si aggiorna da sola se hai attivato l'opzione. Se non hai l'opzione di aggiornamento automatico attiva, ti consiglio di entrare nell'area riservata del tuo sito Wordpress e di verificare la versione installata in basso a destra dello schermo o nella sezione aggiornamento.

L'aggiornamento in questo caso è necessario. Se non hai dimestichezza, rivolgiti al webmaster che ti ha progettato il sito web per farti aiutare: eviterai complicazioni.

Prima di aggiornare, ricorda di fare il backup del database.

 

Articoli Recenti

⟩⟩ Modificare i file di Office in Google Chrome    ⟩⟩ Bitcoin Gold è un hard fork? O una ICO andata male?    ⟩⟩ Incendio nella Foresta Boreale visto dallo Spazio    ⟩⟩ Bitcoin Core Segwit2x, la battaglia finale è iniziata    ⟩⟩ I Cento anni dell'Albese calcio: Una storia da raccontare