https://i0.wp.com/www.web4people.it/wp-content/uploads/2014/03/wp-bug.jpg?w=640&ssl=1

AGGIORNATE WordPress. Questo è il consiglio lanciato dal team che ha rilasciato prontamente la versione 4.2.2 per correggere un grave bug che avrebbe permesso di subire un attacco hijacking.

Il bug è di tipo XSS (Cross-Site Scripting) ed è incluso nel pacchetto Genericons che purtroppo è usato in diversi temi e plugin e dunque il bug potrebbe affliggere milioni di siti web creati su piattaforma WordPress. Ad esempio il bug è presente sul tema installato di default, TwentyFifteen, ed anche JetPack che è installato oltre un milione di volte.

Questo bug è stato risolto sulla versione 4.2.2 e dunque dovete aggiornare il vostro sito nel più breve tempo possibile. La vulnerabilità XSS è di DOM-based ed è presente nel Document Object Model che si occupa di far visualizzare testo, immagini e link nel browser e l’attacco viene eseguito lato client ed è difficile da bloccare poichè la pagina non viene modificata ed il bug permette di eseguire codice JavaScript dopo che l’utente effettua l’accesso con le credenziali di amministratore.

Per risolvere il problema non dobbiamo comunicare la nostra mail o nome utente di WordPress a nessuno e poi eliminare il file example.html presente nel package Genericons, stessa cosa fatta nell’update di WordPress 4.2.2.