Il mondo dei plugin e dei temi di WordPress, come abbiamo imparato tramite tutti gli aggiornamenti sulla sicurezza presenti in questo blog, è particolarmente delicato e richiede una cura approfondita se si sviluppano i siti sul noto CMS come la maggior parte degli sviluppatori di tutto il mondo. Questo perché, non ci stancheremo mai di dirlo, le insidie sono sempre dietro l’angolo e tendenzialmente la trascuratezza di tantissimi backend può portare non solo alla perdita dei singoli siti da parte dei legittimi proprietari, ma anche alla diffusione dei dati degli utenti, la violazione degli account, redirect indesiderati su siti di spam e tutta una lunghissima serie di problematiche anche ben più gravi.
In questo approfondimento parleremo di una vulnerabilità riscontrata, come si evince dal titolo, su Jobmaster, un tema che aiuta ad impostare in modo facilitato un sito web che contiene un’interfaccia per coloro che cercano lavoro. Questo tema in pratica facilita la creazione di bacheche, siti per effettuare job applications e gestire i CV che vengono inoltrati tramite appositi form e procedure. Non è ovviamente il tema con più utilizzatori a livello globale su WordPress, visto che conta 5.000 installazioni circa, ma i numeri non sono neanche così bassi da potersi permettere di ignorare il problema. Quest’ultimo, nato e segnalato la prima volta nel maggio scorso, consiste in una vulnerabilità che darebbe la possibilità ad utenti non autenticati di avere accesso e “guadagnare” anche privilegi da amministratore.
Dopo la segnalazione si è dovuto aspettare ottobre per avere una prima release di una versione con patch del tema, un po’ troppo, considerando che la vulnerabilità CVE-2025-54738 ha ricevuto un punteggio di criticità alto, pari a 9.8 su 10 e riguardava tutte le versioni del tema fino alla 4.7.9, ovvero quella presente in quel momento. I tecnici di PatchStack, uno dei fornitori delle soluzioni di sicurezza per WordPress spiegano anche, in riferimento alla vulnerabilità CVE-2025-54738, che essa può essere sfruttata per effettuare operazioni che solo gli amministratori di solito possono effettuare, oppure utenti dai privilegi più alti, mentre chi riesce ad arrivare a questi livelli, sfruttando la vulnerabilità, può fare autoassegnarsi un ruolo ed estromettere tutti i legittimi proprietari. Le azioni successive sono quelle che abbiamo già elencato brevemente nell’apertura dell’approfondimento, ma si possono evitare installando la patch, contenuta nella versione 4.8 e successive (adesso è disponibile la 4.8.2).
Secondo gli esperti di sicurezza, soprattutto ora che è stata denunciata, è molto probabile che questa falla venga attivamente sfruttata da malintenzionati che vogliono prendere il controllo dei siti. È proprio per questo motivo che ribadiamo, in conclusione, ciò che abbiamo detto in apertura, ovvero che la cura dei backend e degli aggiornamenti degli strumenti, dei temi e di tutto ciò che viene utilizzato tramite WordPress deve essere messo al primo posto da noi o da chi ci sviluppa il sito, cosa che in questo caso dobbiamo chiedere e pretendere. La perdita di controllo dei siti, specie quelli come ad esempio gli e-commerce, che contengono una lunga serie di dati importanti dei propri clienti, può portare a grossissimi problemi anche con le authority, basti pensare al mancato trattamento corretto dei dati ed al furto di quest’ultimi. Inoltre, anche se non si vende merce online, è sempre importante fare di tutto per mantenere una reputazione, sia coi propri visitatori che con i motori di ricerca, che se notano attività strane, come un redirect su pagine malevole, puniscono l’indicizzazione del portale. Le motivazioni per avere sempre cura del backend di un CMS col quale gestiamo il nostro sito non finirebbero qui, ma già queste sono sufficienti a spiegarne l’importanza.
Fonte: 1
