Con l’ultimo rilascio WordPress 6.2.2 e quello rilasciato pochi giorni fa, ovvero il WordPress 6.2.1, sono state risolte diverse falle nella sicurezza del più famoso e usato CMS attualmente in commercio. Gli aggiornamenti di WordPress sono sempre molto importanti sopratutto quando si parla della sicurezza del proprio sito.
Dobbiamo sempre ricordarci che WordPress, come qualsiasi CMS è un insieme di righe di codice che singolarmente non hanno senso ma insieme ci forniscono un prodotto molto utile all’apparenza senza difetti. Pertanto col tempo e con i rilasci c’è il rischio che vengano introdotte delle piccole falle. Queste falle, magari, singolarmente non rappresentano un problema. Una accanto all’altra possono creare percorsi in cui sviluppatori malintenzionati possono infilarsi per danneggiare la nostra piattaforma.
Proprio per questo motivo, bisogna mantenere al sicuro i siti web con gli aggiornamenti rilasciati periodicamente. Come nel caso dei nuovi aggiornamenti per la sicurezza rilasciati da WordPress. Come si legge anche sul sito ufficiale la versione 6.2.2 è una versione a ciclo breve e destinata proprio alla sicurezza, dato che poi nel mese di agosto arriverà la nuova versione ufficiale denominata 6.3.
Lo scopo principale dell’aggiornamento di WordPress pertanto è proprio quello di tappare alcuni buchi e rendere i siti che usano questo CMS più sicuri. In totale sono state individuate e sistemate 5 vulnerabilità e WordPress. Nel rilascio del fix, ha anche pubblicamente ringraziato gli esperti esterni che hanno segnalato i problemi.
WordPress 6.2.1: tutti i dettagli
Come per i sistemi operativi e in realtà per qualsiasi software, anche per i servizi come WordPress gli aggiornamenti sono fondamentali.
Sul sito web ufficiale di WordPress è stato indicato il rilascio della versione 6.2.1 che contiene un totale di 35 fix tra bug e problemi al block editor.
Tra questi fix ce ne sono però alcuni importanti che riguardano la sicurezza e alcune vulnerabilità che sono state rapidamente individuate da esperti esterni e che ora sono state risolte con l’aggiornamento.
Precisamente sono stati scoperti:
- problemi al CSFR per l’aggiornamento dei thumbnail;
- una vulnerabilità agli shortcode dei temi a blocchi;
- una falla che avrebbe permesso lo XSS attraverso il sistema di embedding;
- un problema con il KSES;
- una anomalia sfruttabile attraverso i file di traduzione;
Ciascuna di queste vulnerabilità è stata individuata da esperti diversi attraverso autid con società di terze parti, anche attraverso il lavoro del team di Securitum. Lo stesso team interno della sicurezza di WordPress ha invece scoperto la falla nella sicurezza relativa al CSFR. Mentre WP Engine ha permesso di scoprire i problemi negli shortcode dei temi a blocchi nel caso di dati generati dagli utenti.
WordPress 6.2.2: tutti i dettagli
La versione minore 6.2.2 risolve 1 bug e 1 problema di sicurezza. WordPress 6.2.2 è una versione uscita pochissimi giorni alla precedente per affrontare una regressione in 6.2.1 e correggere ulteriormente una vulnerabilità risolta in 6.2.1. La prossima major release sarà la versione 6.3 prevista per agosto 2023.
Conclusioni
Uso molto WordPress, sia per per scopi didattici/formativi sia per attività professionali. Molti dei siti che progetto e sviluppo sono stati costruiti con WordPress, compreso il mio LM. Motivo per il quale l’aspetto della sicurezza è fondamentale nel mio lavoro e nelle consulenze che offro.
Per consulenze informatiche come scelta PC, dispositivi Apple, scelta di prodotti software e tanto altro potete contattarmi a info@lorenzomalferrari.com oppure usando il modulo nella pagina dei contatti.
Crediti:
- Immagine di copertina è stata creata con Canva e l’uso di una Foto di William Hook su Unsplash
- Immagini prese da Unsplash;
- L’articolo può contenere link di affiliazione;
