WordPress: 7 plugin su 10 sono vulnerabili

Si parla spesso del rapporto tra la piattaforma WordPress e dei suoi plugin, comodi strumenti elaborati dalla comunità  degli sviluppatori […]

Si parla spesso del rapporto tra la piattaforma WordPress e dei suoi plugin, comodi strumenti elaborati dalla comunità  degli sviluppatori per aggiungere funzioni aggiuntive a uno dei CMS e delle piattaforme di blogging più popolari al mondo. Secondo una recente ricerca, però, almeno 7 plugin su 10 fra quelli più scaricati sarebbero vulnerabili ad attacchi esterni.

Checkmarx, una società  esperta nella codifica automatica per il Web, ha recentemente analizzato la lista dei 50 plugin più popolari per WordPress, scoprendo come ben il 20% sia esposto ad attacchi anche molto conosciuti – quindi teoricamente di più facile prevenzione – mentre 7 su 10 di questi strumenti presentino un certo tasso di vulnerabilità , seppur meno grave rispetto al gruppo precedente. I rischi comprendono una lunga serie di exploit sfruttabili da malintenzionati, dalla SLQ Injection al Cross-Site Scripting. Un problema non da poco, perché la società  rivela come questi plugin non sicuri siano stati scaricati e installati più di 8 milioni di volte.

Entrando nel dettaglio, ecco i dati chiave emersi dall’analisi di Checkmarx:

  • Il 20% dei 50 plugin più popolari, circa 8 milioni di download, sono soggetti a vulnerabilità  di base molto diffuse. Tra queste la SQL Injection (SQLi), il Cross Site Scripting (XSS), il Cross Site Request Forgery (CSRF) e la Path Traversal (PT);
  • 7 plugin su 10, quasi tutti del settore ecommerce, sono soggetti ad attacchi di tipo SQLi, XSS, CSRF, RFI/ LFI e PT;
  • Non vi è correlazione tra il numero di linee di codice e l’aumento del rischio: questo significa che un codice breve non è necessariamente un codice sicuro, così come un plugin molto corposo non è necessariamente incline ad attacchi esterni;
  • I plugin più colpiti sono quelli dedicati all’e-commerce, al content management come gli aggregatori di feed, le API per la conversione e l’aggiunta di funzioni mobile, plugin terzi per la gestione dei social network;
  • Solo sei plugin sull’intera lista hanno chiuso le falle di sicurezza entro sei mesi dalla segnalazione, sebbene quasi tutti i plugin trattati siano stati aggiornati durante questo lasso di tempo. Si tratta di Buddy Press, BBPress, E-Commerce, Woo Commerce, W3 Total Cache e SuperCache.

Come può proteggersi l’utente finale da un rischio così elevato d’accesso da parte di malintenzionati? Sempre la società  d’analisi suggerisce alcune regole di base, sebbene non esaustive semmai cautelative. Innanzitutto, i plugin devono essere sempre scaricati da fonti sicure – quindi dalle apposite pagine di WordPress – e bisogna leggere attentamente il feedback degli utenti prima di procedere all’installazione. Quindi, ci si accerti di avere sempre l’ultima versione installata, evitando di tralasciare gli aggiornamenti anche se frequenti e fastidiosi. Infine, i plugin non più utilizzati non devono essere semplicemente disattivati dal pannello di WordPress, ma devono essere completamente cancellati per evitare rapidi accessi ai malintenzionati.

Fonte: NetworkWorld