Grave falla di sicurezza: oltre 1 milione di siti WordPress a rischio

Un'importante vulnerabilità è stata individuata nel plugin W3 Total Cache CVE-2024-12365

Il problema è originato da un'assenza di controlli adeguati in una specifica funzione del plugin. Questo errore permette agli hacker l’attaccante deve disporre di un account con privilegi minimi, come quello di un semplice iscritto

Una volta ottenuto l'accesso, i malintenzionati possono compiere diverse azioni dannose, tra cui inoltrare richieste a servizi esterni utilizzando l'infrastruttura del sito Server-Side Request Forgery

Gli sviluppatori hanno rilasciato una rapida patch di sicurezza

La buona notizia è che gli sviluppatori del plugin hanno rilasciato rapidamente una patch di sicurezza nella versione aggiornata 2.8.2, che risolve il problema. Tuttavia, una grande percentuale dei siti web vulnerabili non ha ancora eseguito l'aggiornamento, esponendosi così a rischi concreti.

Per prevenire eventuali attacchi, è essenziale installare l’ultima versione del plugin e adottare buone pratiche di sicurezza, come l’uso di un firewall per applicazioni web (WAF) in grado di monitorare e bloccare tentativi di sfruttare la falla. Inoltre, ridurre il numero di plugin installati ai soli indispensabili può limitare ulteriori potenziali vulnerabilità.

Questo episodio mette nuovamente in evidenza l'importanza di mantenere aggiornati tutti i componenti di un sito web. I gestori dei siti WordPress devono essere consapevoli che trascurare gli aggiornamenti può esporre le loro piattaforme a gravi minacce, mettendo a rischio sia la sicurezza che la reputazione del proprio progetto online.