Gestire un sito sviluppato col CMS più diffuso al mondo, ovvero WordPress, significa sapere molto bene bene quanto strumenti aggiuntivi esogeni come i plugin ed i temi siano la linfa vitale della propria piattaforma. Essi infatti permettono di semplificare praticamente tutte le operazioni riguardanti i portali che vengono creati, dando quindi modo di gestire, ad esempio, SEO o creazione di moduli di contatto altrimenti difficili da creare utilizzando il solo codice, specie se non si hanno competenze tecniche sufficienti. Al solito, la cura di questi strumenti deve venire ai primi posti quando si tratta di tirare giù una strategia sulla corretta gestione del proprio sito web, poiché come sappiamo le falle di sicurezza sono sempre dietro l’angolo e per evitare problemi serve la proattività di tutti, anche degli amministratori.
Le ultime scoperte del team di Wordfence ci ricordano che anche lo strumento più insospettabile può nascondere delle insidie, se pensassimo, infatti, che un plugin ben gestito dai suoi sviluppatori e con tante installazioni attive sia sinonimo di inattaccabilità al 100% faremmo un errore di valutazione che potrebbe costarci molto caro. Oggi parleremo proprio di due di questi casi, notificati recentemente da Wordfence e riguardanti i plugin MW WP Form e Perfmatters, che godono anche di ottime recensioni e sono entrambi installati su oltre 200.000 siti. Tutti e due i plugin si sono ritrovati improvvisamente al centro di una tempesta perfetta a causa di vulnerabilità di tipo Arbitrary File Move e Arbitrary File Deletion. Partiamo da MW WP Form, un plugin che viene utilizzato dagli utenti di WordPress per generare ovviamente dei forms ma che a causa di un problema tecnico esporrebbe i proprietari dei siti ad un rischio piuttosto serio. Sembra infatti che la falla di sicurezza darebbe modo, anche senza autenticazione, di spostare file arbitrari come, ad esempio, il famoso wp-config.php, che in pratica è l’anima del sito. Spostare questo genere di file significa prendere il controllo del sito, perché si è poi in grado anche di modificarli, mettendo mano a tutto il database e facendo fare al sito letteralmente ciò che si vuole.
La falla in questione è quella contrassegnata dal codice CVE-2026-4347 ed è presente in tutte le versioni del plugin fino alla 5.1.0 (inclusa), ma c’è da sottolineare che può essere sfruttata solo ed esclusivamente quando nella creazione dei form viene abilitato caricamento di file oltre che l’opzione “Salva i dati della richiesta nel database”, cosa che forse ha un po’ abbassato il livello di criticità, stabilito a 8.1 su 10, quindi di livello Alto e non critico. Nei giorni scorsi, per porre fine ai problemi, gli sviluppatori di MW WP Form hanno rilasciato la versione 5.1.1 contenente la patch, ma non sono disponibili dati sull’effettivo sfruttamento della vulnerabilità né sulla quantità di aggiornamenti già effettuati.
Passando alla seconda falla riscontrata in questi giorni, ovvero quella sul plugin Perfmatters, in questo caso si tratta di un problema legato alla possibilità di cancellare arbitrariamente i file presenti nel database dei siti che lo utilizzano. Questo strumento consente, in breve, di velocizzare i siti di chi lo utilizza tramite diverse operazioni sugli script, ma nei giorni scorsi è stato notificato un problema che può potenzialmente riguardare, come dal titolo, oltre 200.000 siti web. La vulnerabilità riscontrata, cifrata con il codice CVE-2026-4350, permetterebbe, andando al cuore del problema, di dare l’ordine di cancellare file importanti per il sito, puntando ovviamente anche in questo caso a wp-config.php. Cancellandolo, WordPress perderebbe il contatto con il database del sito e tutto torna alla schermata iniziale di installazione. Ciò porterebbe quindi al rischio di collegamento, da parte degli hacker, ad un altro database e quindi ad un altro sito, che può essere utilizzato a scopi malevoli.
Come per l’altro plugin del quale abbiamo parlato in questo articolo, anche in questo caso la criticità rilevata per questa vulnerabilità è pari a 8,1 su 10, quindi alta e non critica, ed è presente in tutte le versioni di Perfmatters fino alla 2.5.9.1, ma è già disponibile una nuova versione contenente la patch, ovvero la numero 2.6.0. Ovviamente, cambia il plugin ma non cambia la raccomandazione, ovvero quella di provvedere quanto prima ad installare la nuova versione se non lo si è già fatto. Queste notizie possono spaventare, ma la cosa positiva è che la soluzione è già a portata di mano. Il rischio reale riguarda chi dimentica i propri siti “abbandonati” a se stessi senza fare manutenzione, che visti i numeri di questi due strumenti possono essere moltissimi. Le vulnerabilità di questo tipo sono particolarmente ghiotte per gli hacker perché permettono la cosiddetta Privilege Escalation: un utente comune può trasformarsi in un amministratore in pochi passaggi, prendendo il controllo totale dei contenuti, dei dati degli utenti e delle email.
Per “coprirsi” dai rischi connessi a questo genere di problematiche non serve essere dei maghi del codice, perché possono essere sufficienti anche alcune basilari attività. In primis, l’abbiamo detto e lo ripetiamo, l’aggiornamento rapido alle versioni più recenti e contenenti le patch di sicurezza, in secondo luogo un bel check-up del sito, operazione che comunque è sempre bene fare periodicamente, a prescindere dalle vulnerabilità. In terzo luogo è importantissimo mantenere questo genere di cura sempre, non solo quando emergono falle di sicurezza su plugin o temi, cercando di anticipare l’azione di chi conosce prima di tutti queste possibilità di fare breccia nei siti. Esistono infine anche soluzioni, anche a buon mercato, che consentono la protezione dei siti costruiti con WordPress, che monitorano e proteggono i siti oltre che gli utenti.
