6 Vulnerabilità dei Plugin WordPress violate dagli hacker
Nessun sistema di gestione dei contenuti (CMS) misura WordPress in termini di popolarità. È un campione indiscutibile nella sua nicchia, vantando un impressionante 63,5 per cento della quota di mercato CMS. Inoltre, il 37 per cento di tutti i siti web su Internet utilizzano WordPress.
Con la sua struttura flessibile che si adatta praticamente a qualsiasi contesto online – dai piccoli blog personali e le notizie ai siti gestiti da grandi marchi – non è una sorpresa che questo CMS ha creato increspature nell’area dell’ecosistema web per anni.
Cosa pensano i criminali informatici di questo treno di pubblicità? Avete indovinato: non gli dispiace saltarci sopra. A differenza dei webmaster, però, la loro motivazione è molto meno benevola.
Il lato positivo è che il core di WordPress è adeguatamente protetto da diversi punti di vista attraverso regolari patch di vulnerabilità. Il team di sicurezza di WordPress collabora con ricercatori di fiducia e società di hosting per garantire una risposta immediata alle minacce emergenti. Per aumentare le difese senza fare affidamento sull’igiene di aggiornamento dei proprietari del sito, WordPress ha spinto gli aggiornamenti automatici in background dalla versione 3.7 rilasciata nel 2013.
La cattiva notizia è che i plugin di terze parti possono essere facile preda di attori malintenzionati. Non sorprende che i plugin con molte installazioni attive siano un’esca maggiore. Sfruttandoli, questi attori possono prendere una scorciatoia e aumentare significativamente la potenziale superficie di attacco.
Le falle trovate di recente nei popolari plugin di WordPress vanno dall’esecuzione remota e dai bug di escalation dei privilegi ai difetti di cross-site request forgery e cross-site scripting.
Altro dai nostri collaboratori espertiCi sono 5 tipi fondamentali di imprenditori. Quale sei?
File Manager
A inizio settembre, i ricercatori del provider finlandese di web hosting Seravo si sono imbattuti in una falla di sicurezza in File Manager, un plugin per WordPress installato su almeno 600.000 siti. Categorizzato come una vulnerabilità zero-day di esecuzione di codice remoto, questo bug critico ha permesso ad un avversario non autenticato di accedere all’area di amministrazione, eseguire codice dannoso e caricare script sospetti su qualsiasi sito WordPress con versioni di File Manager tra 6.0 e 6.8.
A credito del produttore del plugin, una versione patchata (File Manager 6.9) è stata rilasciata poche ore dopo che gli analisti della sicurezza hanno segnalato questa vulnerabilità. Secondo le statistiche sulle versioni attive di File Manager, però, questa build è attualmente utilizzata solo sul 52,3 per cento dei siti WordPress che eseguono il plugin. Ciò significa che più di 300.000 siti continuano ad essere suscettibili di compromissione perché i loro proprietari sono lenti ad aggiornare il plugin all’ultima versione patchata.
Quando i cappelli bianchi hanno scoperto questa falla, era già stata sfruttata in attacchi reali che tentavano di caricare file PHP dannosi nella directory “wp-content/plugins/wp-file-manager/lib/files/” su siti web non sicuri. Al momento della stesura di questo articolo, più di 2,6 milioni di istanze di WordPress sono state sondate per versioni non aggiornate di File Manager.
Inoltre, diverse bande di criminali informatici sembrano farsi la guerra per i siti web che continuano ad essere un frutto a basso rendimento. Uno degli elementi di questa rivalità si riduce a specificare una password per l’accesso al file del plugin chiamato “connector.minimal.php”, che è un launchpad primario per l’esecuzione di codice remoto nelle iterazioni di File Manager senza patch.
In altre parole, una volta che gli attori delle minacce guadagnano un punto d’appoggio iniziale in un’installazione WordPress vulnerabile, bloccano il componente sfruttabile per essere utilizzato da altri criminali che possono anche avere accesso backdoor allo stesso sito. A tal proposito, gli analisti hanno osservato tentativi di hacking di siti web tramite il bug del plugin File Manager provenienti da ben 370.000 indirizzi IP diversi.
Page Builder
Il plugin Page Builder WordPress di SiteOrigin ha oltre un milione di installazioni. All’inizio di maggio, il fornitore di servizi di sicurezza Wordfence ha fatto una scoperta sconcertante: Questo componente molto popolare di WordPress è suscettibile di una serie di vulnerabilità cross-site request forgery (CSRF) che possono essere armate per ottenere privilegi elevati in un sito.
Le caratteristiche difettose del plugin, “Live Editor” e “builder_content”, permettono ad un malfattore di registrare un nuovo account di amministratore o aprire una backdoor per accedere ad un sito vulnerabile a volontà. Se un hacker è abbastanza competente, può approfittare di questa vulnerabilità per eseguire un takeover del sito.
SiteOrigin ha lanciato una correzione entro un giorno dopo essere stato avvisato di queste falle. Tuttavia, il problema continuerà a farsi sentire su tutta la linea finché i webmaster non applicheranno la patch – purtroppo, questo di solito richiede un bel po’ di tempo.
GDPR Cookie Consent
Questo plugin è uno dei pesi massimi nell’ecosistema WordPress, essendo installato e utilizzato attivamente su più di 800.000 siti. Permette ai webmaster di rispettare il Regolamento generale sulla protezione dei dati dell’Unione europea (GDPR) attraverso notifiche personalizzabili sulla politica dei cookie.
Lo scorso gennaio, gli esperti di sicurezza hanno scoperto che GDPR Cookie Consent versione 1.8.2 e precedenti erano esposte a una grave vulnerabilità che permetteva ai cattivi attori di mettere in atto attacchi di cross-site scripting (XSS) e di escalation dei privilegi.
Il bug apre la strada a un hacker verso la modifica, la pubblicazione o la cancellazione di qualsiasi contenuto su un sito WordPress sfruttabile anche con i permessi degli abbonati. Un altro scenario avverso si riduce all’iniezione di codice JavaScript dannoso che può causare reindirizzamenti o mostrare annunci indesiderati ai visitatori. La buona notizia è che lo sviluppatore, WebToffee, ha rilasciato una versione patchata il 10 febbraio.
Duplicator
Con oltre un milione di installazioni attive e un totale di 20 milioni di download, Duplicator è nella lista dei 100 migliori plugin WordPress. La sua caratteristica principale riguarda la migrazione o la clonazione di un sito WordPress da una posizione all’altra. Inoltre, permette ai proprietari del sito di eseguire il backup dei loro contenuti in modo facile e sicuro.
In febbraio, gli analisti della sicurezza di Wordfence hanno individuato una falla che ha permesso a un malintenzionato di scaricare file arbitrari da siti che eseguono Duplicator versione 1.3.26 e precedenti. Per esempio, un attaccante potrebbe sfruttare questo bug per scaricare il contenuto del file “wp-config.php” che contiene, tra le altre cose, le credenziali di amministrazione del sito. Fortunatamente, la falla è stata patchata due giorni dopo che la vulnerabilità è stata segnalata al fornitore.
Site Kit by Google
Una grave falla in Site Kit by Google, un plugin utilizzato attivamente su oltre 700.000 siti, consente a un utente malintenzionato di prendere il controllo della Google Search Console associata e interrompere la presenza online del sito. Ottenendo un accesso proprietario non autorizzato attraverso questa debolezza, un attore malintenzionato può cambiare le sitemap, de-elencare le pagine dai risultati di ricerca di Google, iniettare codice dannoso e orchestrare frodi black hat SEO.
Una delle sfaccettature di questa falla è che il plugin ha un impianto grezzo dei controlli dei ruoli utente. Per finire, espone l’URL utilizzato da Site Kit per comunicare con Google Search Console. Quando combinati, queste imperfezioni possono alimentare attacchi che portano all’escalation dei privilegi e agli scenari di post-exploitation menzionati sopra.
La vulnerabilità è stata individuata da Wordfence il 21 aprile. Anche se l’autore del plugin ha rilasciato una versione aggiornata (Site Kit 1.8.0) il 7 maggio, è attualmente installato solo sul 12,9% (circa 90.000) dei siti WordPress che eseguono Site Kit. Pertanto, centinaia di migliaia di proprietari di siti devono ancora applicarlo per stare al sicuro.
InfiniteWP Client
Questo plugin ha più di 300.000 installazioni attive per un motivo: consente ai proprietari di siti di gestire più siti dal proprio server. Un rovescio della medaglia nel godere di questi vantaggi è che un avversario potrebbe essere in grado di aggirare l’autenticazione attraverso una falla critica scoperta da WebARX a gennaio.
Per mettere in moto un attacco del genere, un hacker potrebbe sfruttare le funzioni buggate di InfiniteWP Client chiamate “add_site” e “readd_site”. Poiché queste entità non avevano controlli di autenticazione adeguati, un utente malintenzionato potrebbe sfruttare un payload codificato Base64 appositamente creato per entrare in una dashboard di amministrazione di WordPress senza dover inserire una password valida. Il nome utente dell’amministratore sarebbe sufficiente per ottenere l’accesso. Un aggiornamento che si occupa di questa vulnerabilità è arrivato il giorno successivo alla scoperta.
Che cosa fare
I plugin estendono la funzionalità di un sito WordPress, ma possono essere una benedizione mista. Anche i plugin WordPress più popolari possono avere imperfezioni che consentono vari tipi di gioco sporco che portano al rilevamento del sito e al furto di dati.
La buona notizia è che gli autori di plugin rispondono rapidamente a queste debolezze e rilasciano patch. Tuttavia, questi aggiornamenti sono inutili a meno che i proprietari del sito non facciano i loro compiti e seguano pratiche sicure.
I seguenti consigli vi aiuteranno a prevenire che il vostro sito WordPress diventi un frutto a portata di mano:
- Applicare gli aggiornamenti. Questa è la contromisura fondamentale per gli hack di WordPress. Assicurati che il tuo sito abbia l’ultima versione del core di WordPress. Altrettanto importante, installate gli aggiornamenti per i vostri plugin e temi una volta che sono stati rilasciati.
- Usate password forti. Specifica una password che sembri il più casuale possibile e che sia composta da almeno 10 caratteri. Includi caratteri speciali per alzare il livello degli attaccanti che potrebbero tentare di forzare i tuoi dati di autenticazione.
- Segui il principio del minimo privilegio. Non dare agli utenti autorizzati più permessi di quelli di cui hanno bisogno. I ruoli di amministratore o editore potrebbero essere ridondanti per alcuni utenti. Se i privilegi di abbonato o di collaboratore sono sufficienti, usali invece.
- Limitare l’accesso diretto ai file PHP. Gli hacker possono inviare richieste HTTP o GET/POST appositamente elaborate ai componenti PHP dei tuoi plugin e temi per aggirare i meccanismi di autenticazione e di convalida degli input. Per evitare questi attacchi, specifica delle regole che attivano una pagina di errore quando vengono fatti questi tentativi.
- Rimuovi gli utenti inattivi. Esaminate la lista degli utenti iscritti al vostro sito e rimuovete gli account inattivi.
- Disabilitate l’enumerazione degli utenti. Per evitare che gli aggressori visualizzino l’elenco degli utenti del tuo sito e cerchino di sfruttare i loro errori di configurazione, vai al file .htaccess e disattiva la funzione di enumerazione degli utenti.
- Aggiungi un plugin di sicurezza. Assicuratevi che il plugin sia dotato di un web application firewall (WAF) che controlla il traffico sospetto e blocca gli attacchi mirati che si appoggiano su vulnerabilità note e zero-day.