Torniamo a parlare di plugin WordPress ma non nell’ottica di quanto possono essere utili nella gestione delle pagine di un sito web ma per i problemi che possono generare e di cosa fare.
Il catalogo in continuo aggiornamento pubblicato da Wordfence si è infatti in questi ultimi giorni arricchito purtroppo di una serie di vulnerabilità che riguardano molti utenti. In totale le vulnerabilità più pericolose aggiunte di recente riguardano circa un milione di utenti.
Il consiglio generale che diamo è quello di aggiornare sempre tutto. Perché qualche vulnerabilità potrebbe passare inosservata ma gli sviluppatori dei plugin e degli addon sono sempre al lavoro anche per rintracciare questo genere di falle prima che si trasformino in problemi reali. Oltre a prestare molta attenzione agli aggiornamenti proposti per i plugin che utilizzi e per WordPress come piattaforma ci sono però altre cose che puoi fare.
Innanzitutto controllare se i plugin che hai installato sono effettivamente necessari. Perché se il tuo sito web comprende alcune aggiunte che però non utilizzi potresti dimenticarti di aggiornare questi plugin e quindi lasciare aperte porte ai criminali informatici. E non dimenticare di eseguire sempre il backup di tutto ciò che c’è sul tuo sito. Avere una versione di emergenza aiuta infatti ad affrontare meglio quelle situazioni in cui, nonostante tutta l’attenzione del mondo, qualcosa va storto.
Non è necessario che si tratti di un attacco informatico in piena regola, potrebbe semplicemente trattarsi di un qualche aggiornamento che entra in conflitto con i plugin che hai già e questo ti porta a dover dare la caccia a quello che non funziona. Se puoi installare l’ultima versione funzionante del tuo sito senza perdere troppo tempo la tua presenza online ovviamente non ne risente.
Vulnerabilità del plugin WordPress POST SMTP Mailer
Abbiamo deciso di cominciare la nostra rassegna dei plugin affetti dalle vulnerabilità più pericolose con quella che è segnalata con il punteggio 9.8 in una scala che va da 1 a 10 secondo i valori attribuiti da WordReference. La falla si trova nel plugin POST SMTP Mailer. Un plugin con al momento 300.000 installazioni attive. Il plugin POST SMTP Mailer serve a rendere la gestione delle email inviate attraverso WordPress una passeggiata.
Il servizio utilizza il protocollo SMTP ovvero Simple Mail Transfer Protocol e quindi risolve il problema dell’invio attraverso il protocollo PHP. La vulnerabilità riscontrata nel plugin POST SMTP Mailer è del tipo Authorization Bypass via type connect-app API. Un tipo di attacco che può portare all’ingresso di utenti malevoli in grado poi di fare qualunque cosa, compreso togliere all’amministratore dell’eventuale sito WordPress colpito i diritti di accesso andando a resettare la password.
Una vulnerabilità quindi estremamente pericolosa, perché se viene sfruttata mette i criminali nelle condizioni di sfruttare per proprio tornaconto un sito web che invece viene percepito da Google, e dagli utenti, come totalmente legittimo.
Lo stesso plugin WordPress POST SMTP Mailer è a quanto pare anche affetto da una seconda vulnerabilità: una vulnerabilità che può consentire l’inserimento di script nelle pagine. Una vulnerabilità di cui abbiamo già parlato diverse volte: se viene sfruttata, questa falla consente agli eventuali attori malevoli di inserire pezzi di codice dentro pagine legittime che si attivano nel momento in cui gli utenti ignari visitano queste pagine apparentemente innocue. L’attivazione dello script può avere diversi scopi: dallo spam fino al cercare di carpire le informazioni di pagamento degli utenti. La versione del plugin POST SMTP Mailer va quindi aggiornata alla 2.8.8.
Vulnerabilità del plugin Customer Reviews
Il plugin Customer Reviews è un altro plugin molto apprezzato dagli utenti che hanno deciso di creare il proprio sito di e-commerce attraverso WordPress e WooCommerce. In altre occasioni ci è capitato di parlare di quanto possano essere importanti le recensioni lasciate dagli utenti per convincere altri utenti della bontà dei servizi e dei prodotti che offri. Probabilmente quindi non esiste sito di e-commerce che non abbia implementato un qualche plugin per gestire le recensioni.
Il plugin Customer Reviews conta 60.000 installazioni attive. Il tipo di problema riscontrato, anche questo classificato con un punteggio di 9.8 su 10, permette il caricamento di file da parte di un eventuale attore malevolo che riuscisse ad ottenere i permessi di autore. Il caricamento di file non autorizzati all’interno di un sito web è particolarmente pericoloso perché tra i file che è possibile caricare ci sono ovviamente quelli per l’esecuzione remota di codice malevolo. La versione aggiornata è la 5.38.10.
Vulnerabilità del plugin PDF Invoices & Packing Slips
Per quello che riguarda il plugin WordPress PDF Invoices & Packing Slips, anch’esso attualmente installato in oltre 300.000 siti WordPress che sfruttano l’architettura di WooCommerce, il tipo di falla che è stata riscontrata è di tipo SQL injection che può essere realizzata da utenti che riescono ad avere accesso sotto forma di amministratore o Shop Manager. Come si legge sulla pagina dedicata a questa vulnerabilità, classificata 7.2, la funzione che permetterebbe l’attacco è get numbers ().
Anche in questo caso, come per altre vulnerabilità, l’intromissione di soggetti malevoli che sfruttano la falla può permettere l’estrazione di tutti i dati sensibili presenti nei database degli e-commerce. Essere colpiti da un attacco che espone i dati personali dei propri clienti può segnare la fine di un e-commerce ed è per questo che tutto ciò che riguarda WooCommerce va sempre controllato attentamente. La versione sicura del plugin è la 3.7.6.
Vulnerabilità del plugin WordPress Happy Elements
Il plugin Happy Elements è un addon molto diffuso per Elementor che è utilizzato da oltre 40.000 siti web. La diffusione viene dalla quantità di elementi che compongono questo plugin WordPress che consente di personalizzare l’esperienza del sito con widget per tutti i gusti. La vulnerabilità riscontrata nel plugin, valutata 6.4 su 10, è una vulnerabilità Stored Cross-Site Scripting per attore malevolo autenticato. Un tipo di vulnerabilità che abbiamo già incontrato in altri plugin.
La classificazione 6.4 su 10 viene dal fatto che, a differenza di altre vulnerabilità, per poter essere utilizzata dentro Happy Addons occorre che l’autore malevolo riesca a mettere le mani su credenziali livello contributor e superiori. L’attacco XSS si trasforma poi in codice che viene inserito dentro pagin innocue a si attiva nel momento della visita degli utenti. La versione aggiornata è la 3.10.1.