Torniamo a parlare di WordPress e soprattutto del tema della sicurezza del CMS e dei suoi plugin, dato che come sappiamo la cadenza di nuove notizie su qualche componente da aggiornare è quasi settimanale. Pochi giorni fa, WordFence ha dato notizia di aver osservato che una serie di plugin, cinque per l’esattezza, che non erano stati aggiornati da molto tempo dai loro sviluppatori e che avrebbero messo in serio pericolo i siti che li utilizzavano.
Il tutto è nato la scorsa settimana, quando sul plugin Social Warfare, uno strumento che fornisce quattro blocchi per la condivisione sui social, è stato trovato del codice infetto capace di creare utenti admin nel backend facendo quindi perdere il controllo dei siti. Successivamente il malware faceva anche in modo di installare codice Javascript dannoso nei footer dei siti infetti che poi portasse alla pubblicazione di spam per la SEO. Questa situazione, secondo gli esperti, era da attribuire quantomeno alle versioni che andavano dalla 4.4.6.4 alla 4.4.7.1, ma attualmente il plugin sembra essere stato bloccato e non è possibile scaricarlo. Il messaggio da parte di WordPress riguarda delle attività di revisione ancora in corso cominciate il 24 giugno scorso. A margine di questa scoperta di codice malevolo sono usciti fuori altri quattro plugin che contenevano la stessa violazione, a partire da Blaze Widget, che a tutt’oggi non presenta una versione con la patch ed è sempre sospeso in attesa di giudizio.
Continuiamo la lista con un plugin aggiuntivo al creatore di temi Elementor, ovvero Wrapper Link Element, che a quanto pare è risultato coinvolto nelle versioni che vanno dalla 1.0.2 alla 1.0.3 e per il quale è stato rilasciato un aggiornamento alla 1.0.5 nonostante l’attuale sospensione ma soltanto dopo essere tornati direttamente alla 1.0.0, evidentemente libera dal problema. Gli ultimi due plugin coinvolti in questi problemi sono uno strumento aggiuntivo per Contact Form 7, assai noto nel CMS, chiamato Multi step addon, per il quale non è stata rilasciata ancora nessuna versione aggiornata così come per Simply Show Hooks, che è ancora fermo alla versione corrotta.
Se vogliamo, in questa serie di problematiche c’è un risvolto abbastanza tranquillizzante, ovvero che tutti questi plugin sono scarsamente utilizzati fatta eccezione per Social Warfare, e non è un caso infatti che la prima detection del codice malevolo sia stata effettuata su di esso. A parte queste poche decine di migliaia di siti, dicevamo, gli altri plugin contano al massimo qualche centinaio di installazioni. Questo tranquillizza però fino ad un certo punto, perché tramite questi plugin adesso sospesi era possibile creare backdoor e prendere comunque il controllo dei siti, perché sospensione dalla sezione Plugin del backend non è sinonimo di disattivazione e di disinstallazione, operazione che dev’essere effettuata ovviamente dai titolari dei siti web.
Fonte: 1