Torniamo a parlare delle eventuali vulnerabilità che si possono riscontrare all’interno dei plugin WordPress.
In particolare ne sono emersi tre che secondo la scala di minaccia di WordFence vanno assolutamente aggiornati perché in condizioni critiche. A prescindere però dal fatto o meno se i plugin WordPress che utilizzi vengono analizzati e poi segnalati, è sempre bene controllare che tutto il tuo sito web sia aggiornato alle versioni più recenti di tutto quello che hai installato.
Parlando poi in particolare dei plugin, cerca sempre di utilizzare quelli strettamente necessari. Non c’è niente di peggio infatti di un plugin che è stato installato, non viene mai utilizzato perché sostituito da altro ma rimane lì e nel caso di vulnerabilità può trasformarsi involontariamente in una porta aperta ai cybercriminali.
Questi i plugin WordPress da aggiornare subito
Abbiamo già premesso come gli aggiornamenti debbano essere fatti periodicamente e la dimostrazione è proprio che succede di trovarsi con plugin che vanno aggiornati all’ultima versione rapidamente, perché le versioni precedenti sono risultate affette da qualche magagna che le rende pericolose.
Dalle notizie più recenti, andando a guardare sulla grande piattaforma di WordFence, c’è per esempio una minaccia molto concreta, classificata 9.8 su 10, per gli utenti che hanno il plugin Private Messages for UserPro. Questo plugin è infatti risultato affetto da una inclusione non autenticata di file locali. Le versioni che sono risultate vulnerabili sono quelle fino alla 4.10.0.
La vulnerabilità permette ad utenti malevoli non autenticati, quindi non necessariamente in possesso di credenziali per entrare nella dashboard del sito WordPress, di aggiungere ed eseguire file lato server. Questo può portare quindi anche all’esecuzione di codice PHP. Le conseguenze potrebbero essere una esfiltrazione di dati personali o l’esecuzione di codice malevolo per trasformare un sito legittimo in una trappola.
La vulnerabilità riscontrata all’interno di questo plugin WordPress è forse la più pericolosa, perché al momento non è stata ancora rilasciata una versione del plugin in cui la falla potenziale è stata chiusa. In questo caso l’unico consiglio è quello di disinstallare il plugin è trovare eventualmente un sostituto.
Un altro plugin molto conosciuto risultato problematico a causa di una vulnerabilità è il plugin denominato WordPress File Upload. Per questo plugin in particolare c’è innanzitutto da sottolineare che la minaccia è stata anche in questo caso valutata con un punteggio di 9.8 su 10.
Le versioni compromesse sono quelle fino alla 4.24.12. Il problema viene da un parametro dei cookie che potrebbe consentire l’esecuzione di codice remoto. Una vulnerabilità che quindi può permettere ad un utente malevolo anche non in possesso delle credenziali di accesso ai server di eseguire codice malevolo sui server del sito web.
Anche in questo caso, e il voto dato alla minaccia lo conferma, si tratta di un problema potenziale che può compromettere un sito web legittimo e trasformarlo per esempio in uno specchietto per le allodole, utilizzato da criminali informatici per raccogliere dati sensibili. La versione minima in cui la vulnerabilità è stata corretta è la 4.24.14. Puoi quindi eseguire un aggiornamento.
Il terzo plugin in cui la vulnerabilità è stata classificata con un punteggio di 8.8 su 10 è UpdraftPlus: WP Backup & Migration Plugin. Per questo plugin la vulnerabilità è il potenziale inserimento all’interno del sito web di oggetti PHP.
La vulnerabilità, però, può essere nei fatti solo innescata se tra gli altri plugin presenti sullo stesso sito web costruito con WordPress c’è una POP chain. In mancanza di una POP chain che può attivare i comportamenti malevoli, l’eventuale attacco non si può verificare. Questo però non significa che non sia necessario aggiornare il plugin. Per questo pezzo di software in particolare la prima versione in cui non è presente la vulnerabilità è la 1.24.12.
