I siti multilingua stanno diventando sempre più presenti nel panorama generale di quello che si trova in rete.
Se si costruisce un sito che è in grado di accogliere utenti da diverse parti del mondo con una versione localizzata senza fare ricorso alle traduzioni automatiche presenti nei browser si dà a questi utenti una esperienza che è di gran lunga superiore.
Lavorando con WordPress sono disponibili diversi plugin. Purtroppo però, uno dei più famosi plugin in assoluto è risultato affetto da una importante vulnerabilità che è stata risolta. Questo però significa che devi assicurarti di avere la versione più aggiornata per proteggere il tuo sito e soprattutto i tuoi utenti e i tuoi database.
Siti multilingua, un milione esposti a vulnerabilità
Parliamo spesso delle vulnerabilità che possono essere rintracciate all’interno dei plugin e degli elementi accessori che servono a costruire l’esperienza di WordPress. Queste vulnerabilità sono rintracciate da team specializzati oppure, come successo in molte occasioni, con il contributo di chi utilizza la piattaforma ma non fa sicurezza di mestiere.
Ad allertare gli utenti della presenza di questa vulnerabilità che colpisce i siti multilingua la piattaforma Wordfence. Come ricostruito su un post sul blog ufficiale della società che si occupa proprio di fornire servizi di sicurezza ai siti costruiti con WordPress, la vulnerabilità è stata scoperta lo scorso 19 giugno all’interno del famosissimo plugin WPML.
Uno dei plugin che sono veri e propri punti di riferimento per quello che riguarda la creazione di siti multilingua. La pericolosità di questa vulnerabilità è stata valutata come estremamente alta, tanto che la piattaforma gli ha dato 9.9 su 10. A rendere la situazione molto delicata, proprio la quantità di siti che fanno affidamento su questo plugin e quello che un potenziale criminale informatico avrebbe potuto fare sfruttando la vulnerabilità.
Secondo le analisi degli esperti di WordFence, infatti, un utente non autorizzato, quindi non in possesso di credenziali di accesso ma in grado di entrare su un sito WordPress con un livello contributor, avrebbe potuto avviare l’esecuzione da remoto di codice.
La vulnerabilità è stata riscontrata in tutte le versioni del plugin WPML ed è stata poi risolta con la versione 4.6.13. Nella cronistoria raccontata dal blog emerge però come i produttori del plugin abbiano stranamente atteso oltre un mese per rispondere alla comunicazione fatta dagli esperti di WordFence riguardo questa vulnerabilità e quindi, dalla prima comunicazione inviata alla fine di giugno, la patch sia stata resa disponibile soltanto alla fine di agosto. L’importante, ora che è disponibile una versione aggiornata e sicura, è ovviamente fare l’aggiornamento.
Che cos’è una vulnerabilità remote code execution o RCE
La vulnerabilità riscontrata all’interno del plugin WPML è, come dicevamo, di tipo remote code execution. Nei fatti significa che un utente malevolo può far girare a proprio piacimento del codice sulla rete o all’interno dei computer di una qualunque società.
Esistono diverse situazioni per cui può avvenire un attacco di questo tipo. Nel caso del plugin di WPML, il problema era una mancata validazione dell’input e di un altrettanto mancata sanitizzazione delle funzioni di render del plugin.
Ma si possono avere attacchi remote code execution anche per esempio sfruttando delle vulnerabilità SQL injection, un’altra tipologia di vulnerabilità di cui parliamo molto spesso, o ancora semplicemente sfruttando proprio il funzionamento di alcuni siti che consentono di caricare dei file da parte dell’utente.
Una volta che l’attacco viene avviato, è possibile poi per i criminali declinarlo in vari modi: con l’accesso a quello che c’è sulla rete che gestisce i siti presi di mira è possibile per esempio rubare credenziali e dati privati oppure installare del malware che poi provvede al furto dei dati o a compromettere la sicurezza degli utenti e dei database.
Da ultimo c’è anche la possibilità che i dati vengano semplicemente distrutti e quindi con un attacco remote code execution, in teoria, un criminale potrebbe essere addirittura in grado di cancellare un intero sito WordPress. Questo spiega perché la vulnerabilità è stata classificata con una pericolosità di 9.9 su 10.
