WordPress.org è la piattaforma CMS (Content-Management System) più popolare del Web, quindi qualsiasi “buco” di sicurezza potrebbe avere conseguenze decisamente importanti su un gran numero di siti di piccole e grandi dimensioni. L’ultimo, grave caso in tal senso coinvolge tre diversi plugin di terze parti, anche se il rischio non si è fortunatamente tramutato (ancora) in una minaccia concreta a opera di hacker e cyber-criminali.
In totale, dicono i ricercatori, i siti WordPress potenzialmente a rischio ammontano ad almeno 400.000; il caso più grave riguarda InfiniteWP Client, plugin utilizzabile dagli admin per gestire un numero multiplo di siti Web da un server remoto: un malintenzionato avrebbe potuto codificare un payload malevolo con JSON e Base64, inviarlo a un sito vulnerabile sotto forma di richiesta POST ed effettuare il login conoscendo solo il nome utente di un amministratore ma non la sua password. Gli sviluppatori di InfiniteWP Client hanno chiuso la falla con la versione 1.9.4.5 del plugin.
Un altro grave problema di sicurezza riguarda poi WP Time Capsule, tool per il backup delle installazioni WordPress che, similmente a InfiniteWP Client, è risultato vulnerabile a richieste di login POST senza password. La versione 1.21.16 del plugin chiude le porte ai tentativi di attacco contro almeno 20.000 siti WP.
Le ultime falle di sicurezza a tema WordPress riguardano infine WP Database Reset, plugin progettato per cancellare (in maniera parziale o totale) i dati delle tabelle all’interno del database di un sito WordPress: il tool poteva essere compromesso portando alla cancellazione di un numero arbitrario di tabelle, e persino causando la perdita totale del controllo di un sito WP. Il numero di siti potenzialmente a rischio ammonta a 80.000, mentre la nuova release 3.15 del plugin corregge entrambe i problemi.