La settimana scorsa, abbiamo rilasciato WPML 4.6.13 e WooCommerce Multilingual 5.3.7 per correggere un problema di sicurezza segnalato da Wordfence. Vogliamo condividere ulteriori dettagli su questa correzione e su cosa significa per la sicurezza dei tuoi siti.
Cronologia degli eventi
In WPML, la sicurezza è la nostra massima priorità e ci impegniamo a garantire che i tuoi siti web rimangano sicuri. Per questa correzione, abbiamo lavorato a stretto contatto con Wordfence, uno dei nomi più rispettati nella comunità della sicurezza di WordPress.
Wordfence ci ha contattato a luglio in merito al problema di WPML, ma sfortunatamente il messaggio è finito nella cartella spam ed è passato inosservato per un po’. Per fortuna, ci hanno inviato un’e-mail di follow-up ad agosto e da lì abbiamo ripreso, correggendo immediatamente la vulnerabilità e fornendo a Wordfence una versione corretta per la convalida.
Essendo gli ottimi partner ed esperti che sono, Wordfence ha segnalato un’altra piccola vulnerabilità XSS nel processo, che abbiamo immediatamente corretto.
Nel frattempo, abbiamo ricevuto anche una segnalazione da Patchstack su una vulnerabilità simile in WooCommerce Multilingual.
Dopo aver ricevuto da loro la conferma che la correzione ha superato tutte le convalide, abbiamo rilasciato WPML 4.6.13 e WooCommerce 5.3.7 il 20 agosto.
Il ruolo chiave di Wordfence
Vorremmo cogliere l’occasione per ringraziare Wordfence per il loro grande aiuto nell’identificazione e nella correzione di queste vulnerabilità. L’importanza del loro lavoro per noi e per l’intero ecosistema di WordPress non può essere sopravvalutata.
La loro diligenza nel dare seguito alla segnalazione iniziale e la loro collaborazione durante tutto il processo di correzione testimoniano il loro impegno nei confronti della comunità di WordPress.
Come funziona questo exploit e cosa significa per te
Alcuni articoli online hanno descritto questo problema come un “exploit critico” che interessa oltre un milione di siti. Pur concordando pienamente sul fatto che la sicurezza sia una questione seria, è importante chiarire esattamente come funziona questo exploit in situazioni reali.
Questa vulnerabilità richiede che un malintenzionato disponga dei privilegi di modifica su un sito WordPress. Ciò significa che deve avere un ruolo utente di Collaboratore o di livello superiore sul sito di destinazione.
Detto questo, la gravità dipende dal tipo di utenti che hai sul tuo sito. Se tu e il tuo team siete gli unici amministratori/scrittori/editor del sito, non c’è nessuno al di fuori di te o del tuo team che potrebbe sfruttare questa vulnerabilità.
D’altra parte, se gestisci un sito con utenti che hanno accesso a livello di Collaboratore e non conosci personalmente queste persone, potresti essere più a rischio.
Infine, vogliamo sottolineare che in nessun momento la maggior parte degli utenti di WPML è stata a rischio. La patch è stata sviluppata, testata e rilasciata in stretta collaborazione con Wordfence e il problema è stato completamente risolto.
Come sempre, consigliamo vivamente di mantenere WPML e WooCommerce Multilingual aggiornati sui tuoi siti.
In caso di dubbi
Per i nostri utenti e partner che potrebbero essere stati preoccupati dalle recenti segnalazioni, vogliamo assicurarvi che non c’è motivo di allarmarsi. Il problema è stato risolto rapidamente ed efficacemente e non ci sono prove che sia stato sfruttato in natura.
In caso di domande o dubbi, non esitare a contattarci.
Rimaniamo impegnati per la sicurezza dei tuoi siti web e per la nostra continua collaborazione con Wordfence e altri esperti di sicurezza.
Grazie per la tua continua fiducia in WPML,
Team di WPML