Il famoso plugin per WordPress Jetpack, che offre funzionalità gratuite di sicurezza, backup (del sito in cui è installato), scansione di malware e protezione dagli attacchi brute force, presenterebbe bug che dalla versione 5.1 stanno mettendo a rischio tutti i siti web sui cui è installato; a dichiararlo è il sito di Jetpack ufficiale.
Il sito bleepingcomputer invece, menziona il team di sviluppo di Jetpack, il quale avrebbe affermato di aver collaborato con il team di sicurezza di WordPress.org per rilasciare patch per ogni versione di Jetpack dalla 5.1 e che “la maggior parte dei siti Web è stata o verrà automaticamente aggiornata a una versione protetta“.
Alcune info su Jetpack
Il plug-in Jetpack ha oltre 5 milioni di installazioni attive ed è attualmente gestito da Automattic; le vulnerabilità sono state rilevate da Adham Sadaqah, il quale ha poi divulgato la notizia.
Sebbene non siano stati diffusi molti dettagli relativi ai difetti di sicurezza di Jetpack, l’annuncio afferma che i bug hanno un impatto su tutte le versioni a partire dalla 5.1 e risale a luglio 2017.
Inoltre, gli sviluppatori di Jetpack, affermano che fino al rilascio dell’aggiornamento critico sulla sicurezza di Jetpack 7.9.1 che risolve il problema, non è stata rilevata alcuna prova che le vulnerabilità siano state sfruttate da qualche malintenzionato.
[adrotate banner=”1″]
WordPress Jetpack: le versioni sicure
Ecco quindi un riassunto delle versioni che non presentano questi problemi di sicurezza:
- Jetpack 5.1.1;
- Jetpack 5.2.2;
- Jetpack 5.3.1:
- Jetpack 5.4.1:
- Jetpack 5.5.2:
- Jetpack 5.6.2:
- Jetpack 5.7.2;
- Jetpack 5.8.1;
- Jetpack 5.9.1;
- Jetpack 6.0.1;
- Jetpack 6.1.2;
- Jetpack 6.2.2;
- Jetpack 6.3.4;
- Jetpack 6.4.3;
- Jetpack 6.5.1;
- Jetpack 6.6.2;
- Jetpack 6.7.1;
- Jetpack 6.8.2;
- Jetpack 6.9.1;
- Jetpack 7.0.2;
- Jetpack 7.1.2;
- Jetpack 7.2.2;
- Jetpack 7.3.2;
- Jetpack 7.4.2;
- Jetpack 7.5.4;
- Jetpack 7.6.1;
- Jetpack 7.7.3;
- Jetpack 7.8.1;
- Jetpack 7.9.1.
Per mettersi dunque al riparo da queste problematiche suggeriamo di aggiornare Jetpack alla versione 7.9.1. A seguire vi proponiamo il link diretto al download per installarlo in modo manuale.
Conclusioni
Non smetteremo mai di dire quanto sia importante utilizzare pochi plugin: di fatto sono sempre “porte aperte” al nostro spazio web che, in qualche caso, possono essere sfruttate per prendere informazioni a nostra insaputa o creare seri problemi al sito web.
Dal canto nostro suggeriamo sempre di utilizzare un massimo di 10 plugin e di utilizzare sempre quelli supportati e aggiornati.
Per ultima cosa ma non meno importante, non è pensabile che il backup di un sito web possa essere fatto tramite plugin. È vero, può essere comodo ma il problema è che questi plugin creano i file di backup all’interno dello spazio web, per intenderci nella directory httpdocs.
Questi file, se non opportunamente cancellati, possono essere scaricati da qualche malintenzionato: se pensiamo che all’interno dei file abbiamo di solito gli accessi al database che il nostro CMS (WordPress, PrestaShop, Joomla etc…) utilizza, lasciamo inconsapevolmente una porta aperta al database del sito con tutti i problemi del caso.
A quel punto abbiamo due strade: o ci facciamo un backup manuale per poi archiviarlo in dispositivi sicuri ed affidabili oppure bisogna acquistare un servizio di backup che faccia il “lavoro sporco” per noi, lasciandoci dormire sonni tranquilli.
Come al solito, noi continueremo a tenere la situazione sotto controllo e vi faremo sapere se ci saranno ulteriori sviluppi.