Gli esperti hanno scovato una nuova falla problematica su WordPress, che per quanto possa apparire innocua, in realtà, pare che sia davvero molto più pericolosa del previsto. Non è facilmente risolvibile dal momento che ci sia voluto diverso tempo, ma ora abbiamo finalmente una patch di correzione per questo problema; vediamo come sia nato e soprattutto cosa dovremmo fare per risolvere. 
Sappiate che Elementor Website Builder, un noto e diffuso plug-in per WordPress, è recentemente stato aggiornato alla versione 3.6.3 con lo scopo preciso di risolvere un problema non da poco e che può portare all’esecuzione di un codice da remoto con esiti molto gravi. Infatti, tenendo conto delle info divulgate tramite WordPress Plugin Vulnerabilities, la vulnerabilità richiede l’autenticazione, ma resta il fatto che la gravità possa essere sfruttata da chiunque sia entrato su WordPress.
Sembra che la falla sia scaturita dalla mancanza di un controllo di accesso fondamentale sul file “module.php” del plugin. Parliamo di un dato che viene caricato ad ogni richiesta durante l’azione admin_init, soprattutto per coloro che non sono loggati al sito. In questo modo subentra la possibilità di accedere alla funzione upload_and_install_pro() che consente di installare un plugin WordPress inviato con la domanda. Così facendo chiunque otterrebbe la possibilità di inviare un file dannoso per ottenere l’esecuzione di codice da remoto. Ma come hanno risolto?
I siti colpiti a causa della falla
Tenente in conto che il problema sia nato dalla versione 2.6 di Elementor, rilasciato lo scorso 22 marzo. Ora come ora, attenendoci alle statistiche di WordPress, il 30,7% degli utenti che fanno uso di Elementor hanno installato una versione 3.6.x, il che significa che 5 milioni di siti che fanno uso di Elementor, il numero di quelli potenzialmente interessati è di 1,5 milioni circa. Un dato molto importante oltre che preoccupante.
In sostanza, vi sono almeno 500.000 mila siti web non sicuri e da cui potrebbe essere sfruttata la falla, ragione per la quale debba essere risolta al più presto. Per sistemare la situazione, in teoria, dovremmo aggiornare immediatamente il plug-in e attivare gli aggiornamenti automatici nel caso sia possibile farlo; grazie a questa mossa eviteremo di incorrere in dei dilemmi apparentemente irrisolvibili, soprattutto per le persone che non hanno una grande conoscenza dell’informatica.