La sicurezza su WordPress desta alcune preoccupazioni. Si tratta di un attacco di tipo hijacking, che compromette i contenuti visuali dirottando i visitatori su altre pagine quando interagiscono con i link della tua pagina.
Se gestisci un sito WordPress è bene che te ne guardi.
La minaccia è dovuta a un bug di tipo XSS (Cross-Site Scripting), individuato nel pacchetto Genericons, ed è causato da una vulnerabilità presente nell’installazione predefinita del popolare CMS (Content Management System).
Browser Hijacking è il nome dell’insidia che mina la sicurezza su WordPress
Tale insidia è una tecnica di attacco che è conosciuta anche come Browser Hijacking che, attraverso il redirect lato client, offre all’utente un contenuto diverso che va a sostituire quello del sito vittima.
Il vantaggio ricercato da coloro che attaccano, risiede nello sfruttare tale dirottamento ai fini di aumentare la visualizzazione dei propri contenuti, aumentandone il traffico e il relativo guadagno in ottica Pay per click.
In questo specifico caso si tratta di una vulnerabilità XSS DOM-based, cioè legata al Document Object Model; che riguarda aspetti legati alla visualizzazione della nostra pagina: link, immagini e visualizzazione di elementi testuali.
L’attacco è lato client
Si tratta di un attacco lato client, che sfruttando il bug permette di eseguire codice JavaScript; nel caso in cui l’utente abbia effettuato l’accesso come amministratore. Basta una semplice mail o un messaggio contenente un link!
Ecco in ogni caso come puoi risolvere il problema in maniera altrettanto semplice:
Installando la versione 4.2.2 di WordPress, rilasciata al pubblico in data 6 maggio e nella quale il problema è stato risolto.
Eliminando il file example.html nel package Genericons, che è poi il medesimo accorgimento operato dai responsabili del progetto open source nella sua ultima versione; dove tutti i temi e plugin della piattaforma sono stati aggiornati in maniera tale da non contenere questo file inessenziale.
In ogni caso si consiglia di procedere installando la nuova versione; per evitare di incorrere in altri problemi facenti capo a 13 bug risolti nella medesima.