Le vulnerabilità dei CMS dovrebbero essere perennemente tenute sotto controllo: Checkmarx, azienda operante all’interno del settore sicurezza informatica, ha pubblicato un rapporto tecnico nel quale mostra che ben 12 dei 50 più famosi plugin di WordPress sarebbero soggetti ad attacchi di SQL injection e cross-site scripting. Il laboratorio di ricerca di Checkmarx ha quindi identificato tali plugin considerati fortemente a rischio, evidenziando come – specificatamente nell’ambito e-commerce, ben 7 plugin su 10 relativi a funzionalità di e-commerce per WordPress contengano vulnerabilità di vario genere. Piuttosto singolarmente, tuttavia, il sito Eweek.com che ha inizialmente pubblicato l’indiscrezione non ha reso noti, per precauzione, i nomi dei plugin fallati: abbiamo quindi fatto qualche ricerca su Google, stilando una lista approssimativa delle aree tematiche che sembrerebbe verosimile.
Ricordiamo comunque che, in linea generale, qualsiasi plugin di Wordpress (ma il discorso vale egualmente per i moduli e le estensioni aggiuntive di Joomla! e tutti gli altri CMS) che sia datato, scaricato da un repository non ufficiale o aggiornato non di recente, potrebbe essere a rischio di vulnerabilità informatiche. L’analisi, disponibile in PDF in free download da qui: The-Security-State-of-WordPress-Top-50-Plugins3 (ne hanno parlato sul blog di NetworkWorld originariamente) effettivamente non riporta alcuna informazione sui nomi dei plugin, che sono stati oscurati dal report: il sospetto di un’azione prettamente virale è in parte fondato, ovvero è possibile che il report sia stato pubblicato quasi esclusivamente per far circolare il nome di Checkmarx, per quanto l’argomento sia di effettivo e reale interesse.
Dalle informazioni che si possono desumere dal report, andando a cercare la descrizione riportata per ogni plugin tecnicamente a rischio, possiamo dedurre anzitutto i tipi di vulnerabilità che sono stati analizzati e rilevati:
- SQL Injection (SQLi) – Permette l’esecuzione di codice SQL da remoto, atto ad estrarre informazioni sensibili e manipolare dati esistenti (username, password, anagrafiche, email e così via);
- Cross Site Scripting (XSS) – Consente l’esecuzione di codice arbitrario (PHP, JS) da parte di un client anonimo, spesso sfruttando meccanismi di autenticazione fallati, manipolazione di URL e meccanismi di ricerca mal progettati;
- Cross Site Request Forgery (CSRF) – Consente all’attaccante di fare login in WordPress e redirezionale i visitatori su un sito malevolo a piacere;
- Path Traversal (PT) – Permette all’attaccante di scorrere le pagine del sito in maniera differente dalla normale navigazione.
Si tratta di una ricerca importante nel settore, che dovrebbe essere tenuta sotto controllo periodicamente anche – e soprattutto – in futuro. I plugin risultati sicuri – aggiornati a giugno del 2013, spesso grazie alle segnalazioni dell’azienda in questione – sarebbero i seguenti:
- BuddyPress
- BBPress
- E-Commerce
- Woo Commerce
- W3 Total Cache
- Super Cache
Per quanto riguarda la lista dei plugin insicuri (almeno fino a due mesi fa), la lista è approssimativa ed è stata ricostruita sulla base delle informazioni disponibili (cercando le descrizioni del PDF su Google ed incrociandole con le informazioni disponibili sulle date di update dei plugin). Pertanto i plugin di WordPress sono potenzialmente a rischio, ed è consigliabile quantomeno aggiornarli all’ultima versione quanto prima, oppure preferirvi la versione più popolare (ed aggiornata di recente) relativa alla medesima funzionalità. La lista è solo indicativa, e potrebbe non essere esatta nell’indicazione di alcuni plugin, per quanto le indicazioni siano state fornite sulla base della data dell’ultimo aggiornamento ufficiale (più un plugin è vecchio, maggiori sono i rischi per la sicurezza, di solito):
- plugin per gli “articoli simili” (ne esistono parecchi, potenzialmente ne hanno rilevato almeno uno a rischio);
- plugin broken link checker (si consiglia di aggiornare) (l’ultima versione è del 10 luglio 2013);
- plugin add link to facebook (anche qui, meglio aggiornare);
- sistema di valutazione dei commenti del blog;
- plugin che arricchisce e permette di gestire il feed RSS;
- un plugin di backup di WordPress;
- un plugin di embed di HTML5 e file in Flash;
- un plugin che converte in automatico il sito in versione mobile (forse si tratta di WordPress Mobile Pack, peraltro non aggiornato da più di un anno al momento in cui scriviamo e con almeno un problema noto relativo alla duplicazione di tutti gli URL del blog);
- un editor WYSISYG alternativo per il backend;
- potenzialmente almeno tre plugin per trasformare WP in un sito di e-commerce;
- un plugin che integra PayPal nel vostro blog.
Senza scatenare allarmismi ingiustificati, il nostro suggerimento è quello di verificare scrupolosamente l’installazione di WP in termini di aggiornamenti, proteggersi con appositi plugin ed effettuare sia un check di sicurezza del sito che una scansione approfondita mediante appositi software di analisi come ZAP e Vega.
