È di pochi giorni fa la notizia della scoperta di una grave falla di sicurezza per uno dei plugin più utilizzati su Wordpress (più di 2 milioni di siti web), l'Advanced Custom Fields (ACF), che consentirebbe a qualsiasi utente non autenticato di sottrarre informazioni sensibili, oltre a poter inserire script eseguibili nel codice, portando gli utenti privilegiati ad un percorso URL modificato.

Una notizia che segue di poche settimane quella di un'analoga vulnerabilità riscontrata su un altro plugin per Wordpress molto utilizzato (oltre 11 milioni di siti web), Elementor Pro.

Perchè sempre Wordpress?

Essendo il software CMS più utilizzato al mondo (circa il 43% di tutti i siti web secondo W3Techs) negli ultimi anni Wordpress è diventato l’obiettivo preferito degli hacker, pronti a cercare e a sfruttare a proprio vantaggio queste debolezze.

Ma la sua stessa natura open source fa si che queste vulnerabilità vengano presto individuate dalla vastissima comunità di sviluppatori che, quotidianamente, operano per risolvere queste problematiche, rilasciando opportune patch di aggiornamento.

Cosa fare?

Chi ha installato il plugin ACF sul proprio sito web Wordpress, se ancora non l'ha fatto, dovrebbe immediatamente aggiornarlo alla versione 6.1.6

Il consiglio che poi diamo a tutti i clienti che ci chiedono di sviluppare o gestire un sito programmato in Wordpress è quello di prevedere un servizio continuativo di manutenzione, attraverso il quale verificheremo costantemente la presenza di aggiornamenti che, una volta effettuato il backup dei dati, installaremo prontamente in tutta sicurezza.