Allarme sicurezza su WordPress: falla critica di un plugin mette a rischio milioni di utenti

Una grave vulnerabilità di autenticazione è stata scoperta nel plugin WordPress “Really Simple Security”, utilizzato da oltre 4 milioni di siti web. La falla, identificata come CVE-2024-10924, permette agli hacker remoti di ottenere pieno accesso amministrativo ai siti colpiti.

Wordfence, che ha reso pubblica la vulnerabilità, la definisce una delle più gravi riportate nei suoi 12 anni di storia. Il rischio è talmente elevato che l’azienda suggerisce ai provider di hosting di forzare l’aggiornamento del plugin sui siti dei clienti e di scansionare i database per assicurarsi che nessuno utilizzi una versione vulnerabile.

La falla critica è causata da una gestione impropria dell’autenticazione utente nelle azioni API REST per l’autenticazione a due fattori del plugin. Specificamente, il problema risiede nella funzione ‘check_login_and_get_user()’ che verifica l’identità degli utenti.


123RF/artoleshko

Quando il parametro ‘login_nonce’ non è valido, la richiesta non viene rifiutata come dovrebbe, ma invoca invece ‘authenticate_and_redirect()’, che autentica l’utente basandosi solo sul ‘user_id’, permettendo così di aggirare l’autenticazione.

La vulnerabilità colpisce le versioni del plugin dalla 9.0.0 alla 9.1.1.1, sia nelle edizioni gratuite che Pro. Gli sviluppatori hanno risolto il problema nella versione 9.1.2, rilasciata il 12 novembre per la versione Pro e il 14 novembre per gli utenti gratuiti.

Nonostante gli aggiornamenti forzati di sicurezza, circa 3,5 milioni di siti potrebbero essere ancora esposti alla falla. Gli amministratori dei siti web devono, quindi, verificare di utilizzare l’ultima versione (9.1.2) del plugin, soprattutto gli utenti Pro, i cui aggiornamenti automatici vengono disabilitati alla scadenza della licenza.

Really Simple Security è un plugin di sicurezza per WordPress che offre configurazione SSL, protezione del login, autenticazione a due fattori e rilevamento in tempo reale delle vulnerabilità. La sua versione gratuita è utilizzata in oltre quattro milioni di siti web.

Insomma, la sicurezza non è mai troppa, specialmente quando si tratta di proteggere i propri dati digitali. La vulnerabilità scoperta in “Really Simple Security” ci ricorda, infatti, l’importanza di mantenere sempre aggiornati i nostri sistemi e software. È un principio fondamentale della sicurezza informatica che risale ai primi giorni del computing e rimane cruciale ancora oggi, in un’epoca in cui le minacce digitali sono in costante evoluzione.