Con le recenti notizie che hanno riguardato i problemi relativi alla sicurezza di alcuni plugin per WordPress che si sono sommati al ben più generale e generalizzato problema legato al gigantesco file che conterrebbe miliardi di nomi utenti e di password, un problema che si è venuto a creare all’interno della nuova versione di WordPress, la versione 6.6.1, ha creato un piccolo tsunami di panico.
Non vorremmo spoilerare nulla ma si è tutto risolto per il meglio. Per capire però che cosa è successo e soprattutto per imparare che cosa fare in queste situazioni torniamo un passo indietro e ripercorriamo la vicenda dall’inizio.
WordPress 6.6.1 contiene un virus?
Qualche giorno fa è stato rilasciato il nuovo WordPress. La nuova versione è la versione 6.6.1. Ogni volta che viene aggiornata la piattaforma è chiaro che si possono incontrare piccoli disguidi. Di solito però si tratta di disguidi che riguardano per lo più la compatibilità dei plugin.
Per questo motivo occorre sempre fare un backup prima di installare gli aggiornamenti. Ma un utente si è preoccupato pensando di aver incontrato ben più del classico problema di compatibilità. All’interno del forum di WordPress.org è stato infatti aperto un ticket, per un possibile problema scatenato dalla analisi effettuata sul file compresso del nuovo WordPress da parte di Windows Defender.
Nel messaggio si legge: “Windows Defender mostra che il file più recente WordPress-6.6.1 zip ha al suo interno il virus Trojan:Win32/Phish!MSR .” Di certo non un alert che si incontra tutti i giorni ed è certo non un alert che si vorrebbe vedere quando si scarica la versione ufficiale di WordPress.
L’utente ha poi sottolineato di aver ricevuto lo stesso alert dal sistema di difesa automatizzato di Windows anche cercando di aggiornare WordPress attraverso la dashboard. C’è quindi qualcosa che non va dentro l’ultima versione della piattaforma?
Come dicevamo prima, è venuto fuori che no, non c’è niente che non va e soprattutto nessuno ha infilato dentro WordPress un qualche virus informatico. E allora, che cosa ha causato quello che ora è ufficialmente bollato come falso positivo da parte di Windows Defender? Un malinteso informatico.
Perché Windows Defender se l’è presa con WordPress
Andando a ravanare all’interno dell’alert di Windows è ovviamente venuto fuori qual era il file che aveva scatenato la risposta di difesa. Il file è all’interno del CSS e con una stringa in particolare che, questo il problema, sembrava rimandare ad un indirizzo su internet che inizia con http anziché con https.
E dato che all’interno di un file CSS di solito non c’è bisogno di dare rimandi esterni a URL che si trovano sul web, questo aveva scatenato la risposta. La realtà però è che tutto si è innescato per un problema di Windows Defender, che non è riuscito a riconoscere che in realtà quello che sembrava un indirizzo URL non era un indirizzo URL: “http://www.w3.org/2000/svg” non è infatti una risorsa esterna ma il namespace XML per i file svg.
La dimostrazione viene semplicemente incollando come indirizzo questa stringa. Ed è anche il motivo per cui la soluzione proposta da qualcuno di cambiare http con https non è la soluzione corretta, soprattutto perché non c’è una soluzione da trovare.
Se quindi anche tu ti sei trovato con Windows Defender che ti ha segnalato che c’era un problema con il nuovo WordPress puoi stare tranquillo. È molto probabile che, almeno fino a quando Windows non riaggiornerà i suoi sistemi, molti continueranno a ricevere questo messaggio di errore. Se il blocco del file genera problemi a livello di server, contatta il servizio clienti della piattaforma di riferimento che usi e fai presente ciò che sta succedendo.
Potrebbe accadere davvero?
La sicurezza, soprattutto online, non è mai troppa. Ed è per questo che, anche se poi è risultato essere un non problema, è stato comunque doveroso parlare di questo piccolo siparietto tra WordPress e Windows Defender.
Anche perché, e ne abbiamo invece parlato un po’ di tempo fa, ci sono altre minacce molto reali. In linea puramente teorica, anche la piattaforma di WordPress potrebbe nei fatti essere attaccata e utilizzata per diffondere poi a tutti gli utenti virus di ogni tipo.
Quello che potrebbe accadere è un cosiddetto attacco supply chain. Ovvero quegli attacchi che tentano di infettare un pezzo di software prima che questo venga rilasciato, in maniera tale che poi il virus passi inosservato come aggiornamento.
Per poter portare a termine un attacco supply chain è necessario che si verifichi all’interno dell’infrastruttura che sorregge WordPress una situazione per cui un utente malevolo riesce ad entrare all’interno del network e modifica i file senza che nessuno se ne accorga. Una possibilità remota ma che, come con tutto ciò che c’è online, non può essere del tutto esclusa.
