Potentissima falla scoperta (e ancora non corretta) su Wordpress 4.9.6

Gravissima falla scoperta in Wordpress 4.9.6 e resa pubblica da qualche ora da un team di esperti di sicurezza (https://dewhurstsecurity.com/)

Il team che ha scoperto la falla ha riportano ben 7 mesi a Wordpress il risultato ma non ricevendo nessuna risposta hanno deciso di rendere pubblico così’ da permettere agli sviluppatori di correre ai ripari.

La falla consenritrebbe ad un attacker di “iniettare” un codice malevolo per permettere la cancellazione del file wp-config.php nel quale sono contenute tutte le informazioni relative ad un sito web (credenziali del database e altre configurazioni).
Eliminando tale file Wordpress verrebbe reinstallato sovrascrivendo il file di configurazione con uno nuovo.

Ad ora non è stata ancora rilasciata una patch ufficiale da parte di Wordpress , ma sicuramente nelle prossime ore ci sarà qualche cosa di ufficiale

La vulnerabilità e il modo di utilizzarla è veramente semplice,in pochi passaggi si può ottenere un risultato devastante (anche se i dati contenuti nel database non sarebbero a rischio in quanto solo il file di configurazione verrebbe resettato ) creando potenzialmente un problema molto serio poichè Wordpress è il CMS più usato al mondo.

Gli stessi esperti di sicurezza hanno pubblicato anche un fix temporaneo che va implementato nel file functions.php del template grafico utilizzato su wordpress

Consigliamo a tutti coloro che hanno un sito web basato su Wordpress di correre ai ripari facendo una copia di backup dei dati del sito

Per approfondimenti vi rimandiamo al sito ufficiale nel quale è stata segnalata la falla