Vulnerabilit%C3%A0+riscontrate+in+una+serie+di+plugin+WordPress%2C+come+agire
soswpit
/news/plugin-wordpress-falla-sicurezza/amp/
News

Vulnerabilità riscontrate in una serie di plugin WordPress, come agire

Published by
Valeria Poropat

Dobbiamo tornare a parlare della sicurezza di WordPress ma più nello specifico della sicurezza dei plugin WordPress. Ne sono infatti stati individuati diversi che contengono delle anomalie che possono essere sfruttate da criminali informatici di ogni tipo.

Il pericolo che viene dall’utilizzare un plugin WordPress che presenta delle vulnerabilità è duplice ed entrambi gli aspetti vanno valutati molto bene.

Sito WordPress esposto? Controlla anche i plugin – sos-wp.it

Perché se il tuo sito WordPress utilizza un plugin che può essere potenzialmente utilizzato da qualche criminale questo significa che il tuo sito da una parte può essere oggetto di un attacco, e quindi puoi ritrovarti per esempio alle prese con attacco che ti costringe a bloccare il lavoro che stai facendo, ma significa anche, ed è questo un aspetto che sembra secondario ma non lo è, che tutti coloro i quali si trovino a passare sul tuo sito rischiano di essere in qualche modo a loro volta compromessi. Perché tante vulnerabilità vengono sfruttate non tanto o non solo per recare danno ai gestori di siti web e alle realtà che quei siti web rappresentano ma anche per poter poi utilizzare a mo’ di esca avvelenata quei siti per raggiungere le migliaia di utenti giornalieri registrati. Nello specifico le minacce più importanti, in base al numero degli utenti sono al momento tre e riguardano tre plugin.

Plugin WordPress e vulnerabilità, quelli da controllare subito

Come abbiamo accennato, il fatto che sul tuo sito WordPress possano esserci o meno plugin che sono non perfetti per quello che riguarda la loro sicurezza interna è un problema che non va mai sottovalutato. In particolare ad essere al momento esposti a possibili danni da agenti esterni sono per esempio i membri della community che utilizza WP Fastest Cache. Si tratta di un plugin che è estremamente diffuso su oltre 600 mila siti costruiti con WordPress. Il che significa che ci sono 600 mila potenziali vittime tra i gestori e proprietari di siti web più tutti gli utenti potenziali.

Alcuni plugin WordPress sono poco sicuri, quali controllare adesso – sos-wp.it

La vulnerabilità riscontrata nel plugin WordPress WP Fastest Cache è particolarmente insidiosa perché da una parte è facile da sfruttare e dall’altra opera con il sistema purtroppo già visto del SQL injection ovvero la possibilità da parte di esterni di entrare all’interno del sito web e scartabellare nei database. Si tratta quindi di una vulnerabilità estremamente pericolosa perché se per esempio i database del tuo sito web contengono i dati degli utenti che si sono iscritti ai tuoi servizi questi utenti possono essere a loro volta vittime di altri tipi di attacchi hacker.

Un altro plugin molto diffuso che viene segnalato perché potrebbe generare cross site request forgery è Elementor Addon Elements. La vulnerabilità cross site request forgery risulta pericolosa soprattutto per i siti web dinamici, con gli utenti finali che possono essere convinti ad utilizzare i dati personali per accedere a risorse mentre invece stanno nei fatti consegnando quegli stessi dati personali a un entità esterna. Pericolosa è anche la vulnerabilità di Shareaholic. La vulnerabilità riscontrata è di tipo stored cross site scripting e nei fatti significa che nel caso venga sfruttata un soggetto malintenzionato che riesce ad ottenere i permessi di livello contributor può inserire script all’interno delle pagine e questi script, nascosti e mascherati a dovere, entrano in esecuzione nel momento in cui l’utente finale ignaro accede alla pagina così avvelenata.

Da ultimo anche Forminator è affetto da un problema che consente il caricamento da parte di soggetti pericolosi di file all’interno del server. Per questa ultima vulnerabilità c’è da notare, come aspetto positivo, che la configurazione htaccess impedisce l’esecuzione di codice da remoto ma di certo non impedisce la distribuzione di file potenzialmente dannosi.

Il tuo sito WordPress è a rischio?

Si tratta questa di una domanda lecita. Quello che è l’aspetto migliore di WordPress ovvero la community che produce i plugin, potrebbe essere ritenuta, alla luce delle vulnerabilità che abbiamo segnalato, poco affidabile. Ma vale la pena sottolineare che qualunque tipo di software può inavvertitamente lasciare aperte delle porte o delle piccole finestre in cui malintenzionati capaci e caparbi possono tentare di insinuarsi.

Non è questione quindi di quanto possa essere o meno sicuro WordPress. Qualunque piattaforma dovessi scegliere per costruire il tuo sito sappi che dovrai comunque avere a che fare con possibili problemi di questo tipo. Ciò che devi imparare è quindi a gestire al meglio, e soprattutto rapidamente, queste situazioni quando si presentano. Il consiglio generale per evitare che il tuo sito e gli utenti che al tuo sito arrivano possano essere oggetto di attacchi da soggetti malevoli è molto semplice: mantieni tutti gli elementi del tuo sito WordPress aggiornati. Ricordati di controllare sempre tutti i plugin che utilizzi e di non perdere tempo, perché anche nel caso in cui il tuo sito debba andare offline per una mezz’oretta per un po’ di manutenzione gli eventuali utenti che potresti non incontrare in quella mezz’ora non saranno mai tanti quanti quelli che rischi di perdere se il tuo sito dovesse essere utilizzato da criminali informatici per diffondere attacchi e quindi rovinarti la reputazione completamente.

Valeria Poropat

Laureata in traduzione, Valeria adora da sempre la tecnologia in ogni sua forma e in particolare ai modi in cui la tecnologia può aiutare ad avvicinare le persone e stimolare la curiosità.

Recent Posts

Pop3 e IMAP: come configurare la posta elettronica col tuo dominio

La posta elettronica è uno strumento ormai imprescindibile in qualunque strategia di marketing ma configurare…

13 ore ago

Perché siti peggiori del mio si posizionano meglio? Ecco la spiegazione

Su internet si trova di tutto e tu stai cercando idee per i tuoi contenuti.…

1 giorno ago

5 tecniche per ottenere backlink gratis e di qualità

Qualunque sito viene pubblicato non vive nel vuoto pneumatico del suo server. La rete è…

6 giorni ago

Servizi per accorciare link: quali utilizzare

I servizi per accorciare link sono molto diffusi. Tanti siti web fanno affidamento su plugin…

1 settimana ago

Migliorare o realizzare un sito web: i consigli e le idee utili per ottenere visibilità e credibilità

Come costruire credibilità, incrementare la visibilità e far crescere i profitti attraverso un sito web.…

1 settimana ago

Come aggiornare la versione di PHP del tuo sito WordPress – Guida

Hai un errore nella tua Bacheca WordPress relativo alla versione PHP? Non ti preoccupare, lo…

2 settimane ago