WordPress è uno dei CMS più utilizzati e la popolarità deriva anche alla presenza di innumerevoli plugin che implementano quasi ogni tipo di funzionalità.
Tra questi c’è anche WP-Slimstat, un plugin molto diffuso tra i webmaster, che si occupa di raccogliere le statistiche sulle visite del sito web.
Sucuri, una società che si occupa di sicurezza informatica e che aveva già individuato nei mesi scorsi una grave falla in Slider Revolution (un altro famoso plugin di WordPress) ha segnalato in questi giorni la presenza di un pericoloso baco proprio in Slimstat.
In pratica le chiavi di cifratura utilizzate da Slimstat sono relativamente deboli e con un semplice attacco “brute force” si riesce ad aggirarle. Il sito diventa così vulnerabile a SQL-injection tramite il quale il malintenzionato riesce a recuperare qualsiasi username e password degli utenti registrati.
Per evitare che Slimstat possa diventare pericoloso è necessario aggiornare immediatamente il plugin alla versione successiva immune da questo tipo di attacchi, tramite la dashboard di WordPress.