Torniamo a raccontare le vicende legate alla sicurezza dei sistemi WordPress ed in particolare dei suoi componenti aggiuntivi, ma stavolta non ci occupiamo di plugin come al solito, poiché il focus dell’approfondimento sarà sull’altra metà dei sistemi del noto CMS, ovvero i temi. Anch’essi infatti sono strumenti che possono essere endogeni o esogeni, quindi scaricabili gratuitamente o a pagamento per non dover utilizzare quelli forniti di default nelle varie release. Questi temi da scaricare, solitamente, sono specializzati in qualche funzione più specifica, allo scopo di creare portali dedicati a singoli argomenti, prodotti o contenuti.
Per capire meglio questa dovuta introduzione sui temi è corretto passare direttamente alla vulnerabilità riscontrata su quello chiamato Motors, che viene usato per sviluppare con più fluidità i siti per la vendita di automobili, settore che notoriamente consta di tantissimi portali online che presentano ricerche, filtri e quant’altro. Su questo tema nei mesi scorsi è stata riscontrata una falla di sicurezza che consente, anche a chi si autentica come semplice abbonato, di caricare arbitrariamente file sui portali così come plugin. Tramite questa vulnerabilità, segnalata immediatamente alla casa produttrice StylemixThemes, si può anche inserire codice malevolo e quindi prendere al 100% il controllo dei siti. Questa falla, che è stata serializzata col codice CVE-2025-64374, è presente in tutte le versioni del tema fino alla 5.6.81, che è stata poi fixata col rilascio, avvenuto pochi giorni fa, della versione 5.6.82, ma ciò che preoccupa è ovviamente la sua criticità, pari a 9,9 su 10.
Questo problema ovviamente è stato, come visto, risolto dalla casa che produce il tema, utilizzato lo ricordiamo su oltre 20.000 siti che vendono tutti i tipi di mezzi di trasporto, anche oltre le automobili, ma c’è anche un problema legato alle tempistiche di intervento. Come spieghiamo spesso, infatti, le vulnerabilità capitano ed è frequente trovarne, ciò che fa la differenza è la responsività che dovrebbe seguire alle segnalazioni. In molti casi vediamo che nel giro di pochissimi giorni o comunque qualche settimana vengono rilasciate le versioni con patch per gli strumenti aggiuntivi come plugin e temi, ma altre volte no, lasciando in pericolo gli utenti. In questo specifico caso, però, pare che la prima segnalazione della vulnerabilità sia stata inviata a fine settembre, e ci sono voluti quasi due mesi per avere un aggiornamento e più di due mesi per l’inoltro delle patch, tutto questo ovviamente senza ancora far trapelare all’esterno la notizia della falla, cosa che è accaduta soltanto a metà dicembre. Ovviamente nel mentre ci sono state alcune operazioni, effettuate dalle aziende che si occupano di sicurezza WordPress, in grado di proteggere i propri clienti, ma questo non toglie che non si possa arrivare al 3 novembre prima di pubblicare un aggiornamento per una vulnerabilità con criticità pari a 9,9.
Tutte queste riflessioni si possono fare quando si tratta di strumenti esterni a WordPress, ma occorre sempre ricordare che anche chi possiede un sito web sviluppato con questo CMS deve essere in grado di fare i propri interessi. Ad esempio, esistono soluzioni che possono proteggere da tanti agenti malevoli, che possono essere trovate online anche a costi bassi, ma è anche giusto fare quello che ripetiamo sempre più spesso, ovvero tenere alla salute del proprio sito web ed operare sempre gli aggiornamenti necessari, entrando spesso nel backend e controllando che tutto sia “up to date”.
