Il tuo sito web è molto probabilmente costruito a partire da una serie di elementi di base offerti da WordPress su cui hai aggiunto dei plugin.
Come ci è già successo in altre occasioni, è però arrivato il momento forse di controllare un po’ più da vicino i plugin che utilizzi.
È infatti emerso che uno di questi elementi accessori ha un problema al proprio interno. Un problema che, per utenti malevoli e quindi per hacker e criminali informatici, può diventare un grimaldello e metterli nelle condizioni di entrare all’interno del tuo sito.
Vediamo quindi di che plugin si tratta, perché la vulnerabilità è considerata molto pericolosa e quello che dovresti fare.
Plugin Crawlomatic Multisite Scraper Post Generator: scoperta vulnerabilità importante
Per i siti costruiti con WordPress esistono centinaia e centinaia di plugin diversi che consentono di fare quasi qualunque cosa.
Tra le molte cose che si possono fare c’è anche, a quanto pare, la scansione dei siti che sono pubblicati e dei contenuti che all’interno di questi siti si trovano e di ripubblicarli sul proprio sito. Il plugin Crawlomatic Multisite Scraper Post Generator, questo si legge sulla pagina all’interno di Envato Market, consente infatti di fare scraping dei post che si trovano online.
Per esempio, le informazioni che riguardano i cambi delle valute, le previsioni del tempo, i codici embed dei video e così via. Di certo si tratta di un plugin dall’utilizzo molto particolare che può avere una sua utilità.
Il problema è che, come segnalato dagli esperti di Wordfence, questo plugin è risultato affetto purtroppo da una vulnerabilità di stato critico classificata con 9.8 su 10.
Si tratta di una classificazione che abbiamo visto in rarissime occasioni proprio perché segnala che si tratta di qualcosa di assolutamente pericoloso per i gestori dei siti web su cui il plugin si trova.
E in effetti il pericolo c’è. Questo perché quello che gli esperti di Wordfence hanno scoperto è che c’è una falla che consente a utenti malevoli, anche non in possesso delle credenziali di accesso ai siti web, di caricare file all’interno dei database.
Questo significa che, potenzialmente, se un sito costruito con WordPress monta il plugin Crawlomatic Multisite Scraper Post Generator, un hacker senza troppo sforzo può entrare all’interno del sito utilizzando la vulnerabilità e caricare per esempio codice che poi trasforma il sito web legittimo in una trappola che rimanda ad altri siti ben più pericolosi. Oppure i file potrebbero aprire la strada all’esecuzione remota di codice.
La versione che va per questo installata è la versione 2.6.8.2. Il developer del plugin Crawlomatic Multisite Scraper Post Generator ha infatti rilasciato rapidamente una patch che chiude questa pericolosissima falla nella sicurezza.
Anche in questo caso l’occasione è utile per ricordare alcune buone pratiche che riguardano l’utilizzo dei plugin all’interno dei siti web costruiti con WordPress.
Se hai anche solo un plugin all’interno del tuo sito web, quello che devi fare è assicurarti che il developer di quel plugin lavori per mantenerlo nella sua forma migliore.
Questo significa avere aggiornamenti periodici che quindi aiutano a evitare che potenziali falle vengano utilizzate dai criminali informatici.
Se, e non è la situazione in cui ci troviamo adesso, il developer del plugin che utilizzi non dovesse rispondere rapidamente a una segnalazione di potenziale vulnerabilità, quello che devi fare è da subito disabilitare il plugin e, se il servizio che quel plugin ti offriva è indispensabile, cercare un sostituto che ti possa dare però più sicurezza.
Un altro consiglio generale è quello di evitare di avere più plugin del necessario. Per questo motivo è importante cercare invece quelle soluzioni per cui uno stesso plugin copre diversi servizi.
Così facendo ottieni due scopi positivi. Questo perché da una parte il tuo sito web è più sicuro perché ci sono meno plugin da controllare.
Dall’altra parte però è anche sicuramente un sito web più veloce. Non va mai dimenticato che i plugin, per quanto piccoli possano essere, occupano spazio nei database e diventano risorse che vanno alla lunga a pesare sulla velocità di caricamento generale del tuo sito web.
Meno plugin ci sono, più veloce è il sito perché meno cose ci sono da far viaggiare sulla rete. Un dettaglio da non sottovalutare.
