Aggiornamento di sicurezza di WordPress 6.4.3 – Cosa c’è da sapere

Indice dei contenuti

Condividi con:

Oggi, 30 gennaio 2024, WordPress ha rilasciato la versione 6.4.3, che contiene due patch di sicurezza relative a bug conosciuti da molti anni, sebbene minori, nel Core di WordPress.

La prima patch affronta un problema che permetteva agli utenti con privilegi di Amministratore (o Super Admin nelle installazioni Multisito) di caricare direttamente file PHP su un sito, tramite il meccanismo di caricamento file di Plugin e Temi. Questo problema era presente in configurazioni fortemente limitate che impedivano agli Amministratori e ai Super Amministratori di installare plugin e temi tramite un meccanismo separato. Wordfence ha tracciato questo allarme di sicurezza in bassa priorità ancora nell’agosto 2023, sebbene il problema fosse noto da ben 5 anni.

La seconda patch affronta invece il modo in cui le option vengono memorizzate (e questo interessa soprattutto gli sviluppatori) – ora il codice prima sanifica le option e poi controlla il tipo di dati al suo interno – gli array e gli oggetti vengono serializzati, e se il dato è già serializzato viene serializzato una seconda volta. Questo accadeva già anche nelle precedenti versioni di WP, ma era eseguito solo quando le opzioni venivano aggiornate, non era invece eseguito durante l’installazione, l’inizializzazione o l’aggiornamento del sito. Cosa che ora avviene correttamente.

Secondo il post ufficiale della release note 6.4.3, questo update è destinato a risolvere un potenziale problema di PHP object injection.

Entrambi i problemi sembrano richiedere un utente altamente privilegiato, o un hacker che si imbatte su un sito con un’installazione incompleta, per essere sfruttati e probabilmente impatteranno pochi siti WordPress nel mondo reale, ma a mio avviso si tratta di un update davvero importante che fa capire quanto sia fondamentale oggi agire anche sui piccoli dettagli quando si parla di sicurezza informatica.

Entrambe le patch sono state retro-portate alla versione 4.1 e successive di WordPress. Pertanto chi ha un sito WordPress con versioni major inferiori alla 6.4 ma superiori alla 4.0, hanno la possibilità di aggiornare manualmente all’ultima minor release disponibile.

Conclusione
Le patch di sicurezza di WordPress 6.4.3 hanno affrontato due problemi minori nel core di WordPress e possono principalmente essere considerate come un rafforzamento della sicurezza, poiché le circostanze in cui è probabile che abbiano un impatto sulla sicurezza sono incredibilmente rare. Tuttavia, raccomandiamo di aggiornare in un lasso di tempo ragionevole, specialmente se il tuo sito si basa su una configurazione rafforzata a causa di requisiti normativi.

Hardweb.it

Cerchi un servizio di assistenza e manutenzione professionale per il tuo sito web WordPress / WooCommerce?