L’utilizzo di CMS per lo sviluppo di siti e l’inserimento di tutte le features richieste e necessarie al suo funzionamento è chiaramente una delle pratiche maggiormente diffuse quando si tratta di programmazione. Utilizzando WordPress, il CMS più noto al mondo, è possibile ad esempio inserire plugin che facilitano la creazione di sistemi per prenotazioni rendendo tutto più rapido e risparmiando lungaggini legate all’utilizzo di codice. Chiaramente, da qui a dire che è sempre meglio utilizzare i plugin ce ne corre, poiché come vediamo spesso su questo blog questi strumenti possono celare grossi problemi, come vulnerabilità, capaci di mettere a repentaglio la salute dei siti così come i dati raccolti, ove esistenti. Il caso che vediamo oggi, ed anche in questo caso purtroppo non si tratta di una novità, riguarda un plugin che ha compiti relativi alla sicurezza del sito e del backend WordPress, quindi le implicazioni non sono banali.
Il plugin in questione si chiama Ghost WP ed ha la funzione di aggiungere sistemi di sicurezza come i firewall a protezione del sito, per il quale il 20 marzo scorso è stata notificata una vulnerabilità di tipo critico da parte di PatchStack, rivenditore di soluzioni di sicurezza per WordPress. Il tutto è cominciato a fine febbraio, quando venne comunicato agli sviluppatori della presenza di una vulnerabilità chiamata Local File Inclusion che consentirebbe, se sfruttata, di inserire codice remoto facendo perdere, di fatto, il controllo del portale e del contenuto o più banalmente di fargli effettuare redirect verso siti malevoli provocando un danno d’immagine. Ovviamente gli ultimi due sono solo un paio di esempi, poiché le attività che possono fare gli hacker che inseriscono codice remoto sono molteplici e tutte con connotazioni negative.
La vulnerabilità è stata contrassegnata dal codice CVE-2025-26909 ed è presente su tutte le versioni del plugin fino alla numero 5.4.01, con un punteggio che come abbiamo detto è molto alto, ovvero pari a 9.6. Si rende molto urgente quindi l’aggiornamento del plugin alla nuova versione, ovvero la 5.4.03, che è stata rapidamente rilasciata pochi giorni dopo la notifica di PatchStack. L’installazione di questa nuova versione è importante ed urgente anche perché ad oggi il plugin Ghost WP è utilizzato su oltre 200.000 backend, ciò significa che sono tutti potenziali vittime e che la vulnerabilità potrebbe essere sfruttata, a maggior ragione ora che è stata diffusa la notizia della sua esistenza.
Come abbiamo visto anche in questo caso, la necessità più importante quando si gestisce e si sviluppa un sito utilizzando un CMS è la cura della sua corretta salute, ovvero il controllo costante di aggiornamenti dei plugin e delle versioni dello stesso CMS. Ovviamente, anche queste operazioni vanno fatte con criterio effettuando ad esempio un rapido backup o salvando uno snapshot del sito prima di procedere all’aggiornamento, per evitare che l’installazione possa avere problemi di compatibilità e di conseguenza subire qualche problema tecnico.
Fonte: 1
