I plugin sono da sempre uno dei punti deboli della piattaforma CMS WordPress per la pubblicazione e la gestione di siti Internet. Ogni falla di sicurezza che viene scoperta in un plugin, infatti, mette a rischio migliaia di siti Internet.
L’ultimo caso riguarda Newsletter, un popolare plugin che consente di gestire le comunicazioni tramite mail e che vanta più di 300.000 download dal repository ufficiale di WordPress. Come spiegano i ricercatori di Wordfence in un report pubblicato il 3 agosto, la vicenda rischia di creare non pochi problemi agli amministratori dei siti WordPress. Le falle di sicurezza che interessano Newsletter, infatti, sonno state scoperte a breve distanza le une dalle altre con la conseguente segnalazione continua degli aggiornamenti.
Il primo bug, corretto con l’aggiornamento pubblicato il 13 luglio scorso, riguardava un classico Reflected XSS che è stato classificato con un livello di gravità media. Quando i ricercatori di Wordfence hanno investigato su questa falla però, ne hanno individuate altre due, ben più gravi.
Si tratta per la precisione, di una vulnerabilità Reflected XXS e di un bug che consentirebbe una PHP Object Injection, il cui utilizzo permetterebbe di creare amministratori “nascosti” e inserire backdoor all’interno dei siti.
I ricercatori hanno segnalato le due vulnerabilità agli sviluppatori il 14 luglio e la nuova patch (la versione più recente oggi disponibile è la 4.8.3) è stata rilasciata il 17 luglio. Questo susseguirsi di date pare abbia creato un po’ di confusione tra gli utenti. Secondo gli esperti di WordFence, infatti, solo la metà degli utilizzatori del plugin avrebbero aggiornato all’ultima versione. Tradotto in cifre, ci sarebbero ancora 150.000 siti WordPress vulnerabili agli attacchi.
Si spera che il nuovo sistema di aggiornamento automatico della piattaforma aiuti a risolvere la situazione rapidamente. Anche perchè i bug dei plug-in di WordPress ultimamente proliferano: è stato riscontrato per esempio il grave bug nel plug-in Facebook Chat. Questa ennesima debolezza, nello specifico, consente agli hacker di intercettare i messaggi inviati dagli utenti ai proprietari di siti Web vulnerabili. Il plug-in Facebook Chat, infatti, viene utilizzato da questi ultimi per incorporare chatter pop-up dai visitatori in tempo reale tramite la piattaforma Facebook Messenger per le pagine di Facebook. Il plug-in include il supporto per la trascrizione della chat, quindi è facile programmare risposte e domande frequenti al di fuori dell’orario di lavoro.
Per proteggersi prima che i bug diventino fonte di problemi molto seri, gli utenti dei plugin devono assicurarsi di aggiornare i propri siti il prima possibile, con l’ultima versione disponibile.