La sicurezza del tuo sito costruito con WordPress passa anche per la sicurezza di tutti gli elementi che utilizzi, compresi quindi i plugin che potresti aver scelto di implementare.
Per questo motivo, periodicamente controlliamo quelle che sono le bacheche degli esperti di sicurezza per segnalare la presenza di plugin che rappresentano potenziali minacce sia per i gestori dei siti web sia per gli utenti finali.
Di recente sono state segnalate tre vulnerabilità, tutte classificate a un livello critico e che quindi occorre risolvere rapidamente. Due su tre dei plugin coinvolti sono essenzialmente già stati aggiornati, mentre un terzo ancora no.
Come vedremo, tecnicamente non si tratta di plugin molto diffusi e quindi potenzialmente i problemi sono del tutto limitati. Ma questo ci permette di fare un altro genere di riflessione: una riflessione che riguarda proprio i plugin, il modo in cui li scegliamo e quello che dovremmo sempre fare.
Plugin WordPress: questi potenzialmente sono pericolosissimi
Qualunque vulnerabilità venga riscontrata all’interno di un elemento che viene utilizzato per costruire a sua volta una presenza online è una vulnerabilità che di riflesso può aprire le porte di quel sito ad utenti malevoli. Ed è quindi per questo motivo che segnaliamo sempre quando vengono riscontrate vulnerabilità pericolose.
Il più delle volte ci concentriamo su quelli che sono i plugin più famosi. Ma stavolta tre vulnerabilità classificate in un caso da Wordfence e in altri due casi da Patchstack sono di livello critico ma riguardano plugin un po’ di nicchia e con una base utente non molto grande.
Il plugin segnalato come vulnerabile da Wordfence è Recover WooCommerce Cart Abandonment, Newsletter, Email Marketing, Marketing Automation By FunnelKit.
Un plugin che quindi, come suggerisce il nome piuttosto lungo, permette di automatizzare alcuni aspetti del marketing e per esempio andare a ripescare quegli utenti che erano a un passo dal fare un acquisto. Si tratta quindi di un plugin piuttosto utile con una base di installazioni di oltre 20.000 utenti.
Come segnalato da Wordfence, il plugin è però risultato affetto da una vulnerabilità classificata con un 9.8 su 10 e che consente l’installazione arbitraria non autorizzata di altri plugin a causa di un difetto in una funzione di controllo all’interno del plugin stesso.
Potenzialmente si tratta di una vulnerabilità che può essere sfruttata anche da utenti privi delle credenziali di accesso e che possono, attraverso questa vulnerabilità, installare altri plugin e quindi trasformare un sito WordPress legittimo in una specie di trappola. Il plugin è stato aggiornato e la versione da scaricare assolutamente è la 3.6.0.
Altri due plugin sono invece stati segnalati da Patchstack. Uno è un plugin che è stato direttamente sospeso e non può essere quindi più installato né scaricato dal sito ufficiale di wordpress.org: si tratta del plugin PT Project Notebooks.
L’altro plugin per il quale invece è stata rilasciata una versione che è stata aggiornata e che quindi non contiene più nessun problema è il plugin Simple Payment.
Per questo plugin la versione da installare è almeno la 2.3.9. Andando a guardare sul sito ufficiale di WordPress nella sezione in cui sono raccolti tutti i plugin, fa piacere vedere come i developer abbiano rilasciato un’altra versione aggiornata rispetto a quella segnalata come pulita da Patchstack.
Segnale che quindi i developer hanno lavorato attivamente per risolvere il problema. Un problema che potenzialmente permetteva a un attore malevolo di superare le restrizioni presenti nel codice del plugin.
Per quello che riguarda Project Notebooks, invece, la vulnerabilità era di tipo privilege escalation, ovvero un utente malevolo capace di insinuarsi con delle credenziali di basso rango all’interno di un sito WordPress avrebbe potuto trasformare i propri privilegi per esempio in quelli di amministratore.
È chiaro che nel momento in cui un utente malevolo può diventare amministratore di un sito web le conseguenze sono pericolosissime.
Perché parlare di questi plugin WordPress se non sono molto diffusi?
Come dicevamo all’inizio, tante volte le nostre analisi riguardano quei plugin che sono molto diffusi. Perché, volendo comunicare quello che potrebbe essere un problema potenziale, è chiaro che di solito si scelgono i plugin che hanno un bacino di utenti più ampio e per i quali c’è quindi più facilità che un sito possa finire in mano a quelli che chiamiamo spesso attori malevoli.
Ma vale la pena ricordare che anche i plugin più famosi in assoluto hanno cominciato come plugin nuovi, installati all’inizio da pochi utenti.
La quantità di installazioni è uno dei criteri con cui tante volte si scelgono i plugin che si vuole installare all’interno del proprio sito e si lasciano da parte quelli che invece non hanno preso molto piede.
In alcune situazioni, però, vale anche la pena dare una possibilità a un plugin nuovo che potrebbe nei fatti essere un plugin utile esattamente per quello di cui tu hai bisogno.
Per questo motivo stavolta abbiamo deciso di concentrarci su tre vulnerabilità pericolose ma che riguardano plugin con una base più piccola.
L’idea che tu debba cercare sempre il plugin migliore e che una delle discriminanti debba per forza essere la quantità di installazioni può farti perdere un’occasione.
È chiaro che non puoi trasformare il tuo sito WordPress in una sorta di palestra per tutti i plugin nuovi che incontri, ma se ti trovi che il plugin che hai scelto per un determinato servizio (molto famoso ma che non fa per te), devi sentirti libero e al sicuro anche nel momento in cui invece decidi di sperimentare con il lavoro di un developer più nuovo.
Tieni presente che valgono tutte le altre regole di sicurezza che ribadiamo sempre: anche nel caso in cui scegli un plugin nuovo, controlla sempre che il plugin sia aggiornato con regolarità.
Perché un plugin che riceve aggiornamenti periodici significa che qualcuno se ne occupa con attenzione. E questo significa anche che, in caso di problema, la patch di sicurezza può essere prodotta e rilasciata in tempi brevi.
