Dobbiamo tornare a parlare della sicurezza di WordPress ma più nello specifico della sicurezza dei plugin WordPress. Ne sono infatti stati individuati diversi che contengono delle anomalie che possono essere sfruttate da criminali informatici di ogni tipo.
Il pericolo che viene dall’utilizzare un plugin WordPress che presenta delle vulnerabilità è duplice ed entrambi gli aspetti vanno valutati molto bene.
Perché se il tuo sito WordPress utilizza un plugin che può essere potenzialmente utilizzato da qualche criminale questo significa che il tuo sito da una parte può essere oggetto di un attacco, e quindi puoi ritrovarti per esempio alle prese con attacco che ti costringe a bloccare il lavoro che stai facendo, ma significa anche, ed è questo un aspetto che sembra secondario ma non lo è, che tutti coloro i quali si trovino a passare sul tuo sito rischiano di essere in qualche modo a loro volta compromessi. Perché tante vulnerabilità vengono sfruttate non tanto o non solo per recare danno ai gestori di siti web e alle realtà che quei siti web rappresentano ma anche per poter poi utilizzare a mo’ di esca avvelenata quei siti per raggiungere le migliaia di utenti giornalieri registrati. Nello specifico le minacce più importanti, in base al numero degli utenti sono al momento tre e riguardano tre plugin.
Come abbiamo accennato, il fatto che sul tuo sito WordPress possano esserci o meno plugin che sono non perfetti per quello che riguarda la loro sicurezza interna è un problema che non va mai sottovalutato. In particolare ad essere al momento esposti a possibili danni da agenti esterni sono per esempio i membri della community che utilizza WP Fastest Cache. Si tratta di un plugin che è estremamente diffuso su oltre 600 mila siti costruiti con WordPress. Il che significa che ci sono 600 mila potenziali vittime tra i gestori e proprietari di siti web più tutti gli utenti potenziali.
La vulnerabilità riscontrata nel plugin WordPress WP Fastest Cache è particolarmente insidiosa perché da una parte è facile da sfruttare e dall’altra opera con il sistema purtroppo già visto del SQL injection ovvero la possibilità da parte di esterni di entrare all’interno del sito web e scartabellare nei database. Si tratta quindi di una vulnerabilità estremamente pericolosa perché se per esempio i database del tuo sito web contengono i dati degli utenti che si sono iscritti ai tuoi servizi questi utenti possono essere a loro volta vittime di altri tipi di attacchi hacker.
Un altro plugin molto diffuso che viene segnalato perché potrebbe generare cross site request forgery è Elementor Addon Elements. La vulnerabilità cross site request forgery risulta pericolosa soprattutto per i siti web dinamici, con gli utenti finali che possono essere convinti ad utilizzare i dati personali per accedere a risorse mentre invece stanno nei fatti consegnando quegli stessi dati personali a un entità esterna. Pericolosa è anche la vulnerabilità di Shareaholic. La vulnerabilità riscontrata è di tipo stored cross site scripting e nei fatti significa che nel caso venga sfruttata un soggetto malintenzionato che riesce ad ottenere i permessi di livello contributor può inserire script all’interno delle pagine e questi script, nascosti e mascherati a dovere, entrano in esecuzione nel momento in cui l’utente finale ignaro accede alla pagina così avvelenata.
Da ultimo anche Forminator è affetto da un problema che consente il caricamento da parte di soggetti pericolosi di file all’interno del server. Per questa ultima vulnerabilità c’è da notare, come aspetto positivo, che la configurazione htaccess impedisce l’esecuzione di codice da remoto ma di certo non impedisce la distribuzione di file potenzialmente dannosi.
Si tratta questa di una domanda lecita. Quello che è l’aspetto migliore di WordPress ovvero la community che produce i plugin, potrebbe essere ritenuta, alla luce delle vulnerabilità che abbiamo segnalato, poco affidabile. Ma vale la pena sottolineare che qualunque tipo di software può inavvertitamente lasciare aperte delle porte o delle piccole finestre in cui malintenzionati capaci e caparbi possono tentare di insinuarsi.
Non è questione quindi di quanto possa essere o meno sicuro WordPress. Qualunque piattaforma dovessi scegliere per costruire il tuo sito sappi che dovrai comunque avere a che fare con possibili problemi di questo tipo. Ciò che devi imparare è quindi a gestire al meglio, e soprattutto rapidamente, queste situazioni quando si presentano. Il consiglio generale per evitare che il tuo sito e gli utenti che al tuo sito arrivano possano essere oggetto di attacchi da soggetti malevoli è molto semplice: mantieni tutti gli elementi del tuo sito WordPress aggiornati. Ricordati di controllare sempre tutti i plugin che utilizzi e di non perdere tempo, perché anche nel caso in cui il tuo sito debba andare offline per una mezz’oretta per un po’ di manutenzione gli eventuali utenti che potresti non incontrare in quella mezz’ora non saranno mai tanti quanti quelli che rischi di perdere se il tuo sito dovesse essere utilizzato da criminali informatici per diffondere attacchi e quindi rovinarti la reputazione completamente.
La posta elettronica è uno strumento ormai imprescindibile in qualunque strategia di marketing ma configurare…
Su internet si trova di tutto e tu stai cercando idee per i tuoi contenuti.…
Qualunque sito viene pubblicato non vive nel vuoto pneumatico del suo server. La rete è…
I servizi per accorciare link sono molto diffusi. Tanti siti web fanno affidamento su plugin…
Come costruire credibilità, incrementare la visibilità e far crescere i profitti attraverso un sito web.…
Hai un errore nella tua Bacheca WordPress relativo alla versione PHP? Non ti preoccupare, lo…