Una grave vulnerabilità mette a rischio centinaia di migliaia di siti WordPress, consentendo a malintenzionati di caricare malware e compromettere i server. Il plugin Forminator, utilizzato per creare moduli personalizzati, presenta una falla critica che potrebbe avere conseguenze disastrose.
Secondo BleepingComputer, il CERT giapponese ha scoperto di recente questa vulnerabilità, classificandola con un punteggio di 9,8 su 10. La falla, nota come CVE-2024-28890, permette agli attaccanti di accedere a informazioni riservate e file sui server. Inoltre, potrebbe essere sfruttata per modificare i contenuti del sito, lanciare attacchi DoS e molto altro ancora.
Forminator è un plugin popolare che semplifica la creazione di moduli per contatti, feedback e persino pagamenti. La sua interfaccia drag-and-drop lo rende accessibile anche agli utenti meno esperti. Tuttavia, questa vulnerabilità mette a rischio i siti di centinaia di migliaia di utenti.
Fortunatamente, WPMU DEV, lo sviluppatore di Forminator, ha rilasciato prontamente una patch per risolvere il problema. Gli utenti sono stati invitati ad aggiornare il plugin alla versione 1.29.3 il prima possibile. Tuttavia, secondo le statistiche di WordPress.org, almeno il 44% dei siti che utilizzano Forminator non ha ancora installato l’aggiornamento, il che significa che circa 230.000 siti web rimangono potenzialmente vulnerabili agli attacchi.
Nonostante non ci siano ancora prove di abusi, la natura critica di questa vulnerabilità suggerisce che è solo una questione di tempo. La facilità di sfruttamento e il potenziale impatto distruttivo rendono questa falla una seria minaccia per la comunità WordPress.
Questa situazione evidenzia l’importanza di mantenere aggiornati la piattaforma WordPress, i plugin e i temi. Gli amministratori dovrebbero anche disattivare qualsiasi plugin o componente aggiuntivo non utilizzato, riducendo così la superficie di attacco potenziale per gli hacker. La sicurezza di WordPress dipende da un ecosistema sano e aggiornato.
>> Fai un check-up del tuo sito WordPress: consulta i nostri servizi di assistenza e manutenzione WordPress