WordPress è sotto attacco. La notizia arriva da Wordfence, i cui analisti hanno rilevato un attacco massivo avvenuto nelle scorse settimane contro oltre 1,6 milioni di siti basati su WordPress. L’attacco, proveniente da oltre 16.000 indirizzi IP, ha sfruttato le vulnerabilità presenti in quattro plugin e quindici temi Epsilon Framework che hanno permesso agli hacker di assumere il ruolo di amministratore eprendere il controllo del sito. È necessario installare gli aggiornamenti al più presto e rimuovere plugin e temi eventualmente presenti ma non utilizzati.
Gli attacchi hanno avuto inizio lo scorso 7 dicembre, e due giorni dopo erano stati rilevati 14 milioni di incursioni.
I cybercriminali hanno attivato l’opzione users_can_register e impostato l’opzione default_role a “amministratori”, in modo da poter poi procedere alla registrazione con il ruolo di amministratore del sito.
Questi sono i plugin vulnerabili:
- PublishPress Capabilities <= 2.3
- Kiwi Social Plugin <= 2.0.10
- Pinterest Automatic <= 4.14.3
- WordPress Automatic <= 3.53.2
Questi sono invece i temi vulnerabili:
- Shapely <=1.2.8
- NewsMag <=2.4.1
- Activello <=1.4.1
- Illdy <=2.1.6
- Allegiant <=1.2.5
- Newspaper X <=1.3.1
- Pixova Lite <=2.0.6
- Brilliance <=1.2.9
- MedZone Lite <=1.2.5
- Regina Lite <=2.0.5
- Transcend <=1.1.9
- Affluent <1.1.0
- Bonkers <=1.0.5
- Antreas <=1.0.6
Il tema NatureMag Lite non è stato ancora aggiornato e quindi è fortemente consigliata la sua disinstallazione.
Per chi amministra un sito il consiglio è anche quello di controllare nelle impostazioni generali di WordPress che non sia spuntata la casella “Chiunque può registrarsi”, ma scegliere un ruolo predefinito per i nuovi utenti senza privilegi.
Leggi tutti gli articoli di Nonsolomac dedicati al web design.
Visita anche il sito WordPress.org per info sul CMS più usato del web.
Seguici sui social e sul nostro canale YouTube:
Le offerte del giorno di Amazon.it
Seguendo i link sponsorizzati Amazon, tu non spenderai un centesimo in più, mentre noi riceveremo una piccola commissione, che investiremo nel mantenimento e nella crescita del sito.
Gli ultimi articoli di Nonsolomac:
- Wonderlust, l’evento Apple del 12 settembre
- WWDC 2023, l’inizio di una nuova era
- L’Easter Egg nell’invito alla WWDC 2023 che svela il visore AR/VR
- Inserimento rapido di testo editabile nelle note di iOS
- HomePod mini rileverà temperatura e umidità
Aiutaci a far conoscere sempre più Nonsolomac, condividi questo articolo sui tuoi social preferiti:
