Torniamo a parlare di problemi di sicurezza legati a tutti quegli elementi accessori che rendono la costruzione dei siti web con WordPress potente e allo stesso tempo più facile: temi e plugin.
Come ogni tanto capita, infatti, anche i developer più coscienziosi possono inavvertitamente lasciare aperte delle porte che poi, in talune situazioni, possono essere utilizzate da criminali informatici senza scrupoli per sfruttare ciò che c’è poi all’interno degli eventuali siti web presi di mira a proprio piacimento.
Un motivo in più per controllare che tutto quello che utilizzi sul tuo sito sia aggiornato alla versione più recente e che quindi ci sia un developer che si preoccupa di mantenere ciò che usi nella sua forma migliore.
Vulnerabilità nel tema Motors
Cominciamo parlando di quello che è stato scoperto all’interno del tema denominato Motors e che è uno dei più gettonati per chi decide di aprire un sito web che abbia a che fare con le automobili, con le moto e quindi in generale con i motori.
Lo si trova su Envato Market ed è stato acquistato oltre 22.000 volte. Non è un tema civetta quindi, ma un prodotto molto apprezzato.
Il fatto che sia molto apprezzato e che sia stato acquistato moltissime volte chiaramente lo rende anche un problema potenzialmente molto grande quando si riscontrano delle vulnerabilità.
E a quanto pare la vulnerabilità riscontrata nel tema Motors e indicata su WordFence è pericolosissima. È stata infatti classificata con un punteggio pari a 9.8 in una scala che va da 1 a 10.
Il problema è realmente serio. Il tema, si legge nella descrizione del problema riscontrato dagli esperti di WordFence, non ha una procedura che serva a validare l’identità dell’utente prima di un eventuale aggiornamento della password.
Questa mancanza di un controllo prima di un cambiamento così importante potrebbe mettere utenti malevoli (anche non in possesso di credenziali di accesso) nelle condizioni di cambiare le password degli utenti, comprese le password degli amministratori del sito, e quindi utilizzare questi dati per poter poi accedere liberamente ai database.
Una violazione di questo tipo potrebbe trasformare un sito legittimo e funzionante in una trappola per tutti gli utenti che dovessero capitarci.
Se infatti un soggetto malevolo prende possesso di un sito legittimo, può per esempio decidere di inserire del codice a sua volta malevolo che indirizzi gli utenti verso altre piattaforme progettate per estrarre i loro dati sensibili.
In alternativa, il sito potrebbe essere utilizzato direttamente proprio per raccogliere questi stessi dati. Ora si capisce perché la minaccia è stata valutata come critica.
La vulnerabilità è poi presente in tutte le versioni del tema sino alla 5.6.67. Per fortuna i developer di Motors si sono mossi tempestivamente e ora si può aggiornare il tema alla versione 5.6.68 in cui la falla è stata risolta.
Vulnerabilità nel plugin TI WooCommerce Wishlist
Quello che accomuna ciò che è stato riscontrato e pubblicato sul portale WordFence per il tema Motors e quello che il portale riporta invece per il plugin TI WooCommerce Wishlist è che il grado di pericolosità è lo stesso.
Anche per il plugin TI WooCommerce Wishlist infatti il problema è stato valutato con un punteggio di 9.8 su 10. Anche in questo caso quindi siamo di fronte ad un qualcosa di potenzialmente letale per la sicurezza dei siti web su cui il plugin è installato.
Il problema stavolta viene dalla mancanza di una validazione riguardo il tipo di file che può essere caricato. Questo può permettere ad utenti malevoli (anche non in possesso di credenziali di accesso valide) di caricare quindi sul server cui si appoggia il sito file di qualunque tipo.
Potenzialmente, anche in questo caso, quindi, siamo di fronte ad una vulnerabilità che può trasformare un sito in un vero problema per gli utenti e per il suo stesso gestore. Il caricamento di file può infatti modificare la struttura del sito e aggiungere contenuti molesti e pericolosi.
C’è da dire che per il plugin, rispetto al tema Motors di cui parlavamo prima, la falla all’interno della struttura può essere utilizzata solo se è presente un altro plugin: WC Fields Factory. Ma questo non la rende chiaramente meno preoccupante. Per fortuna gli sviluppatori hanno rilasciato una versione aggiornata: la versione è la 2.10.0.
