Purtroppo le notizie riguardanti le falle di sicurezza sui CMS non si fermano e sono costantemente presenti nei forum dedicati a tutti coloro che si occupano di sviluppo di siti web utilizzando gli strumenti di Joomla!, WordPress o altre piattaforme. Come sappiamo i vari moduli aggiuntivi o plugin, più degli strumenti forniti direttamente da chi rilascia i CMS, portano con loro un po’ di incertezza per quel che riguarda l’effettiva cura e la prontezza degli aggiornamenti in caso di segnalazioni di vulnerabilità o altri problemi legati alla sicurezza. È evidente però che questi strumenti sono molto utili e non tutte le funzioni che vengono aggiunte vengono anche fornite direttamente dalle piattaforme, pertanto non si possono evitare in toto ma, piuttosto, si può scegliere con oculatezza quali installare e quali no.
Ovviamente, la maggior sicurezza di un plugin o di un tema, per ciò che riguarda WordPress, non dipende neanche dalla quantità di installazioni attive che viene mostrata nella pagina dedicata all’interno del catalogo poiché, come vedremo e come abbiamo visto anche in passato, le vulnerabilità vengono trovate anche su strumenti più scaricati. La differenza, come sempre, la fa la velocità con la quale le case produttrici riescono a mettere una “toppa” al buco e, fondamentale, quanto sono attenti coloro che devono installare le patch, vale a dire gli utenti finali. Nel breve approfondimento di oggi, per restare in tema, parleremo del plugin chiamato Ally, uno strumento creato da Elementor, noto sviluppatore di temi, che serve ad analizzare i siti per lavorare e migliorare la loro accessibilità.
Su questo plugin è stata riscontrata nei giorni scorsi una falla di sicurezza che consentirebbe, se sfruttata, di effettuare quella che i tecnici chiamano SQL Injection, ovvero la possibilità, per utenti che non hanno effettuato l’accesso, di rubare informazioni importanti come le password aggiungendo query SQL verso il database in modo incontrastato. La falla è stata giudicata di gravità alta con un punteggio pari a 7.5 su 10, tuttavia interessa tutte le versioni del plugin fino alla 4.0.3 inclusa. Il problema non è tanto la gravità però, quanto la grandissima quantità di siti che, come si evince dal sito, utilizzano il plugin Ally, ovvero più di 400.000. Tutti coloro che utilizzano questo plugin devono quindi affrettarsi ed installare la versione contenente la patch, che è stata già rilasciata e corrisponde attualmente alla numero 4.1.0, distribuita pochissimi giorni dopo la segnalazione effettuata da Wordfence.
Come abbiamo visto in questo brevissimo approfondimento, il modus operandi che è stato tenuto da Elementor, casa produttrice del plugin Ally, rientra in quelli che possono essere considerati buoni esempi, poiché nel giro di pochi giorni ha ricevuto la segnalazione ed ha procurato la soluzione al problema. Questo non accade sempre, anche se è importante sottolineare che è più probabile che vi siano rapide risoluzioni piuttosto che tempi particolarmente lunghi in questi casi. Ciò considerato, è anche importante che gli aggiornamenti forniti siano efficaci e che i problemi non si ripresentino in futuro, magari in altra forma. Soprattutto, e finora abbiamo soltanto sorvolato la questione, è fondamentale che tutti coloro che utilizzano Ally installino la versione 4.1.0 e risolvano così il problema, poiché gli sviluppatori dei plugin possono anche sforzarsi di creare patch efficaci, ma l’ultima mossa deve sempre venire da coloro che i plugin li utilizzano.
Fonte: 1
