Scoperta vulnerabilità in un plugin WordPress, 4 milioni di siti compromessi

I plugin di WordPress sono di certo una delle caratteristiche migliori della piattaforma. Versatili e sempre nuovi, i plugin permettono di creare siti web rispondenti ai bisogni specifici di una utenza sempre più ampia.

Ma questa presenza così importante dei plugin a volte produce situazioni di pericolo. Non è infatti la prima volta che viene lanciato pubblicamente un allarme che riguarda uno dei plugin disponibili per WordPress.

In questo caso ad essere è stato compromesso è un numero importante di siti, si parla di circa 4 milioni, perché ad essere potenzialmente pericoloso è risultato essere uno degli accessori più gettonati da chi è alla ricerca di velocità di caricamento. Il plugin in questione è il Lite Speed Cache prodotto da Lite Speed Technologies. Un plugin con un rating di tutto rispetto proprio perché fa esattamente quello che promette ed è compatibile con una vasta gamma di altri plugin tra cui WooCommerce e Yoast SEO. Ma che cosa è successo nello specifico e soprattutto come muoversi adesso che è stata scoperta la vulnerabilità?

Quanto è pericolosa la falla di Lite Speed?

Come riportato dal portale specializzato WordFence il problema riscontrato in Lite Speed Cache Plugin è del tipo cross side scripting. Un tipo di attacco che è particolarmente insidioso dato che nel caso in cui un hacker maleintenzionato sfrutti la falla, riuscendo ad autenticarsi su un qualunque sito, può inserire degli script che si attivano poi nel momento in cui gli utenti inconsapevoli arrivano nella pagina che si trasforma in questo caso in una sorta di trappola.

Una vulnerabilità che quindi non va ad intaccare solo eventualmente la stabilità e la reputazione dei siti web ma che può potenzialmente sviluppare minacce ad ampio spettro se le pagine colpite hanno un numero molto alto di utenti. Il problema, sempre seguendo l’analisi tecnica di WordFence, si è generato perché il plugin lavora generando degli shortcode che servono a fare la cache blocchi e proprio questa funzionalità con gli shortcode può portare all’apertura di passaggi sfruttabili da parte di criminali informatici.

I tipi di attacco che è possibile portare avanti sono molteplici e fanno affidamento sulla mancanza di sistemi di controllo come la sanitization o lo escaping dei dati. Di per sé portare avanti un attacco xss su un sito sfruttando questa vulnerabilità non è particolarmente facile dato che, come dicevamo prima, occorre necessariamente riuscire ad ottenere un accesso qualificato al sito in questione ma per chi fosse veramente intenzionato a trasformare pagine di un sito web all’apparenza innocue in una trappola per avviare poi i propri script, in grado per esempio di reindirizzare il traffico oppure carpire dati sensibili, la strada ovviamente c’è. Compresa la portata del pericolo veniamo adesso alla soluzione immediata che va messa in atto.

Che cosa fare in questi casi?

La soluzione, che viene proposta sia da WordFence sia dal buon senso, è ovviamente quella di aggiornare tutti i plugin alla versione più recente possibile. Per quello che riguarda Lite Speed Cache si tratta di quella attualmente disponibile sul repository ufficiale di WordPress. Nel caso in cui il tuo sito utilizzasse questo plugin ma ma con una versione inferiore alla 5.7 è necessario un aggiornamento tempestivo. In generale, di nuovo, vale la pena ricordare che anche se non vengono scoperte vulnerabilità, l’aggiornamento dei plugin e della piattaforma su cui si trova il tuo sito WordPress è fondamentale perché proprio gli aggiornamenti, anche se ti sembrano una perdita di tempo, sono in realtà importanti.

Tante volte vengono automaticamente chiuse le falle che possono essere sfruttate dai criminali informatici. E se pensi che il tuo sito sia troppo piccolo per essere appetibile per un hacker sappi che non esistono siti che non possono in qualche modo risultare utili agli scopi criminali. Da ultimo, anche fosse per salvaguardare la tua reputazione, evitare che un hacker prenda possesso di ciò che c’è online a tuo nome è ovviamente una scelta preferibile che non il pensare di essere un pesce troppo piccolo.