Successivo
Breccia di Sicurezza

Security

Jetpack, grave falla di sicurezza nel plugin per WordPress

Alfonso Maruccia | 21 Novembre 2019

Servizi Web Sicurezza

Uno dei componenti aggiuntivi più popolari per WordPress.org deve fare i conti con un pericoloso bug di sicurezza. Pochi i […]

Uno dei componenti aggiuntivi più popolari per WordPress.org deve fare i conti con un pericoloso bug di sicurezza. Pochi i dettagli su un problema definito “critico”, mentre gli aggiornamenti arrivano per le diverse versioni di Jetpack uscite negli ultimi due anni.

Grave problema di sicurezza per Jetpack, uno dei plugin più popolari per i siti basati su WordPress con più di cinque milioni di installazione attive stimate: gli sviluppatori hanno individuato un bug potenzialmente critico, quindi hanno deciso di distribuire aggiornamenti multipli in grado di chiudere la falla nelle versioni del plugin distribuite negli ultimi due anni.

Sviluppato da Automattic, la società che gestisce l’incarnazione commerciale di WordPress(.com), Jetpack offre diverse funzionalità aggiuntive a un sito WordPress(.org) comprensive di statistiche di accesso, protezione da spam e attacchi a forza bruta o autenticazione a doppio fattore. Uno dei focus principali di Jetpack è insomma la sicurezza, e il nuovo aggiornamento serve appunto a garantire un’esperienza di navigazione sicura a tutti gli utenti e le aziende che fanno uso della piattaforma CMS più popolare del Web.

Jetpack per WordPress, bug di sicurezza

Il bug scovato dai programmatori riguarda il modo in cui Jetpack interpreta il codice embeddato ed esiste sin dalla versione 5.1 del plugin, comunica il sito ufficiale, quindi il problema riguarda tutte le versioni di Jetpack distribuite dal luglio del 2017 in poi. Al momento non vi sono indicazioni sul fatto che il bug sia già attivamente sfruttato “in the wild”, ma i potenziali rischi per la piattaforma WP sono tali da consigliare un aggiornamento immediato del plugin.

Gli sviluppatori di Jetpack hanno collaborato con il Security Team di WordPress.org per distribuire una patch utilizzabile su tutte le versioni del plugin coinvolte, e gli utenti dovrebbero quindi avere la possibilità di chiudere la pericolosa falla sia che utilizzino una vecchia versione di Jetpack (5.1.1, 5.2.2, 5.3.1, ecc.) sia che ne abbiano una più recente (7.6.1, 7.7.3, 7.8.1).

L’aggiornamento di Jetpack può come al solito avvenire per via automatica, per via manuale tramite la Bacheca di WordPress (per chi ha disabilitato gli aggiornamenti automatici nel file di configurazione del CMS) oppure tramite il download dell’archivio ZIP ufficiale con relativo (e tediosissimo) trasferimento dei file del plugin tramite un client FTP.