WordPress, rischio di defacement per milioni di siti internet

Una seria vulnerabilità in WordPress, versioni 4.7.0 e 4.7.1, è stata scoperta dal team di sicurezza Securi. Il bug è presente nella “REST API” introdotta di default nelle ultime release del CMS (Content Management System) più utilizzato al mondo per la creazioni di siti internet.

Nonostante lo scorso 26 gennaio la vulnerabilità sia stata corretta con il rilascio della release 4.7.2 , gli hacker hanno comunque potuto sfruttare il bug riuscendo a compromettere oltre 1,5 milioni di pagine web nel giro di 48 ore dalla divulgazione di questa falla. Gli esperti credono che nei prossimi giorni il numero potrebbe sensibilmente aumentare se gli amministratori dei siti non correggeranno subito il bug effettuando l’aggiornamento all’ultima versione di WordPress.

Nell’immagine i nomi delle “compagnie hacker” e il numero dei siti compromessi

La Securi, infine, ha sottolineato che esiste un aspetto ben più grave della vicenda. Se da una parte è vero che il defacing dei siti non porta agli hacker alcun profitto, è altrettanto vero che la stessa vulnerabilità potrebbe essere sfruttata da cyber-criminali per inserire all’interno dei siti immagini e link per divulgare campagne di spam e codice infetto.

Quindi, per evitare che ciò possa accadere, l’unica soluzione utile è quella di aggiornare WordPress alla versione 4.7.2 che è, ad oggi, l’ultima release disponibile.