Torniamo a parlare di plugin da aggiornare. Stavolta la situazione coinvolge quattro milioni di siti web su cui in particolare questo plugin è stato aggiunto.
La vulnerabilità è risolta ma questo significa che, per essere realmente al sicuro, il plugin deve essere aggiornato all’ultima versione. Devi per questo assicurarti che anche la tua installazione sia alla versione più recente.
Plugin da aggiornare, persino Wordfence si è spaventato
Le notizie che riguardano la sicurezza dei plugin installati sui siti WordPress arrivano per lo più dal grande portale specializzato Wordfence. E quando un post pubblicato dagli esperti di sicurezza di Wordfence inizia con “questa è una delle vulnerabilità più serie che abbiamo mai riportato nei nostri 12 anni di storia” si capisce da subito che la situazione non è seria solo a parole. Il plugin in cui è stata riscontrata questa vulnerabilità è Really Simple Security, il cui nome precedente era Really Simple SSL.
Già in questo c’è una più che discreta dose di ironia. Questo plugin, infatti, rientra nella categoria dei plugin per la sicurezza, qualcosa che dovresti sempre avere installato sul tuo sito per evitare che soggetti malevoli possano in qualche modo interferire con quello che c’è sul tuo sito o con gli utenti che sul tuo sito navigano.
Quello che ha reso estremamente pericoloso il problema riscontrato all’interno di questo plugin per la sicurezza è che la vulnerabilità è di tipo scrptable. Come spiegato dagli esperti di Wordfence, si tratta di una vulnerabilità che può essere sfruttata in modo automatico e prendere così di mira contemporaneamente in pratica tutti i siti web su cui il plugin si trova.
Really Simple Security è disponibile in una versione gratuita e in una versione a pagamento Pro ed è importante sapere che anche la versione Premium è stata aggiornata, perché è risultata afflitta dalla stessa vulnerabilità. Qual è stato però il problema che è emerso?
Gli esperti di Wordfence lo scorso 6 novembre hanno rintracciato in questo plugin una vulnerabilità di tipo authentication bypass. Questo genere di vulnerabilità mette utenti malevoli non autenticati nelle condizioni di poter entrare senza troppo sforzo dentro qualunque sito web.
La vulnerabilità può essere sfruttata nel momento in cui si attiva la funzione di autenticazione a due fattori e un hacker può, interferendo con la fase di autenticazione, prendere possesso di un qualunque account stia facendo login sul sito WordPress preso di mira. Come accennavamo, si tratta di una delle vulnerabilità più pericolose che Wordfence abbia mai incontrato e infatti il suo punteggio è 9.8 su 10.
Per fortuna gli sviluppatori di Really Simple Security hanno immediatamente avviato le procedure per trovare una soluzione. La versione aggiornata che devi avere è la numero 9.1.2 ed è stato aggiornato sia nella sua versione gratuita sia nella versione Premium.
Anche se l’aggiornamento di sicurezza è stato forzato e dovrebbe quindi essere arrivato a tutti i siti web interessati, è sempre bene andare a controllare all’interno della dashboard del tuo sito WordPress se hai scelto i servizi di Really Simple Security per la tua presenza online.
Una attività di controllo che dovresti comunque portare avanti periodicamente: i plugin che non vengono aggiornati sono infatti uno dei portoni che i cybercriminali cercano per poter entrare sui siti web e fare poi quello che vogliono.
CSI plugin
Prendendo spunto da quello che è successo con questo plugin dedicato alla sicurezza ricordiamo qui quelle che sono le buone pratiche che dovresti sempre mettere in atto con il tuo sito WordPress. La prima cosa da ricordare è che la sicurezza deve essere al primo posto.
Prima ancora che avere quindi un sito web bello ed elegante devi avere un sito web che sia per quanto possibile a prova di criminali informatici. Gli utenti che dovessero trovare i propri dati compromessi dopo averli affidati al tuo sito sono infatti non solo utenti arrabbiati ma cattiva pubblicità che può espandersi molto rapidamente.
Per questo motivo, nel momento in cui decidi di scegliere i tuoi prossimi plugin, devi innanzitutto controllare che quello che vuoi installare o quello che hai già installato sia sottoposto ad aggiornamenti costanti. Evita quindi plugin che non hanno avuto un aggiornamento nel corso degli ultimi sei mesi o dell’ultimo anno. La compatibilità con le versioni più recenti di WordPress è importante anche per la sicurezza.
Se un plugin non viene aggiornato spesso potrebbe contenere delle vulnerabilità che possono poi essere sfruttate. E se nessuno si occupa di chiudere le vulnerabilità, i cybercriminali hanno tutto il tempo di portare avanti esperimenti per trovare la maniera, questa anche elegante, di infiltrarsi e prendere il controllo dei dati personali presenti nei database o di un intero sito web.