Vulnerabilità WordPress: plugin e temi da aggiornare subito

La sicurezza del proprio sito WordPress passa anche attraverso la gestione delle vulnerabilità che possono colpirlo.

La regola generale vuole che più plugin utilizzi più devi stare ovviamente attento a che questi plugin siano aggiornati alla versione più recente.

Vediamo a tal proposito quelle che sono le vulnerabilità più pericolose al momento riscontrate da WordFence. E tra queste vulnerabilità ce n’è una che ci permette anche di fare un altro tipo di riflessione riguardo proprio il processo con cui scegli e implementi i plugin oppure installi i temi per il tuo sito.

Temi e plugin WordPress che devi tenere d’occhio

Cominciamo la nostra carrellata con un plugin che aiuta a gestire l’aspetto più social dei siti web. Si tratta del plugin denominato Sassy Social Share. Con una base di oltre 100 mila installazioni e un rating a 5 stelle, è un plugin molto apprezzato per consentire la condivisione sui social da parte degli utenti che capitano sul tuo sito WordPress.

Su WordFence la vulnerabilità riscontrata è classificata con un punteggio di 6.4 su 10. Si tratta di una vulnerabilità Stored Cross-Site Scripting che può consentire a utenti malevoli in grado di autenticarsi a livello di contributor di inserire script web nelle pagine. Le conseguenze sono facilmente intuibili: la presenza di questa vulnerabilità consentirebbe a chiunque di caricare parti di codice pericoloso sul sito, che poi si attiva nel momento in cui un utente entra sulla pagina infetta. La vulnerabilità è stata risolta e devi quindi scaricare la versione 3.3.59.

Un altro plugin pericoloso, con una vulnerabilità classificata 9.9 da WordFence è File Manager e la sua versione Pro. Si tratta in questo caso di una vulnerabilità di tipo Directory Traversal ovvero una vulnerabilità che consente a utenti malevoli di leggere il contenuto dei file che si trovano sul server e quindi eventualmente di estrapolare anche dati sensibili contenuti nei database del tuo sito WordPress. La versione pericolosa è qualunque inferiore alla 7.2.2 per la versione standard e alla 8.3.5 se hai attivato File Manager Pro.

SiteOrigin Widgets Bundle è il terzo plugin segnalato da WordFence. Con oltre 600 mila installazioni attive è un altro plugin molto apprezzato e che quindi mette a rischio molti siti e molti utenti. Lo scopo di SiteOrigin Widgets Bundle è quello di aiutare nella creazione di siti responsive con slider, pulsanti, mappe e caroselli. La vulnerabilità che è stata segnalata ha una pericolosità di 6.4 su 10 ed è di tipo Stored Cross-Site Scripting. Questo significa che, come nel caso di altri plugin, chi riuscisse ad entrare in possesso delle credenziali per autenticarsi sul sito WordPress può inserire script pericolosi. La versione da aggiornare è la 1.58.8.

Continuiamo la nostra carrellata di plugin che vanno aggiornati con Complianz, un plugin WordPress utilizzato per la gestione dei cookie. Questo plugin soffre di una vulnerabilità di tipo Cross-Site Request Forgery, il che permetterebbe ad utenti non autenticati di cancellare la richiesta di dati GDPR in caso in cui riescano a convincere un amministratore del sito a cliccare un determinato link. Trattandosi di una vulnerabilità più difficile da realizzare ha un punteggio di 4.3 su 10. Per fortuna, perché si tratta di un plugin attivo su quasi un milione di siti. La versione da aggiornare è la 7.0.0.

Molto pericoloso è invece quello che è stato rintracciato all’interno di Migration, Backup, Staging – WPvivid. La vulnerabilità è stata infatti classificata da WordFence con un punteggio di 9.8 su 10 ed è quindi a un livello critico. Si tratta di una possibile iniezione SQL da parte di utenti malevoli non autenticati. Lo scopo di un tipo di attacco simile sarebbe quello di estrapolare informazioni sensibili dai database soggetti ad attacco. La versione sicura è la 0.9.69.

Oltre ai plugin che abbiamo segnalato c’è anche da indicare che il tema Avada ha una vulnerabilità classificata 8.8 su 10 da WordFence. È una vulnerabilità che consentirebbe a utenti malevoli con autenticazione di inserire file arbitrari. La dimostrazione che non solo i plugin possono essere oggetto di problemi ma anche i temi stessi che utilizzi. Fortunatamente, Avada è un tema seguitissimo dagli sviluppatori, che garantiscono aggiornamenti immediati per risolvere le vulnerabilità. Per questo motivo, in generale, è sempre bene controllare che tutto quello che decidi di avere all’interno del tuo sito WordPress sia aggiornato.

E come esempio di un plugin che sarebbe meglio evitare di avere, proprio perché non viene aggiornato da moltissimo tempo è Auto Refresh Single Page. Questo plugin è tra quelli segnalati con vulnerabilità di grado elevato, 8.8 su 10 secondo WordFence. Il problema però è che si tratta di un plugin che non è stato aggiornato da più di 9 anni e infatti, nel grande panorama dei plugin WordPress, sulla pagina ufficiale è segnalato come plugin temporaneamente chiuso e non più disponibile per i download. Nel caso in cui tu lo avessi installato e attivato è bene allora eliminarlo (quantomeno temporaneamente) in attesa di sapere se i developer che se ne sono occupati hanno intenzione di lavorare su di lui.