​La top 10 dei plugin wordpress che possono danneggiare il tuo sito web (e il tuo business)

Da Microteam | 7 Settembre 2021

WordPress è il motore open-source di oltre 450 milioni di siti web. Un numero enorme che cresce ogni giorno di almeno 500 unità.

La comunità che ruota attorno ad esso ha generato negli anni un’infinità di temi (se ne stimano almeno 20mila) e di plug-in (probabilmente oltre 100mila). Alcuni di questi sono molto popolari: scaricati e installati milioni di volte, possono rappresentare un enorme pericolo quando vengono identificate vulnerabilità nel loro codice.

Purtroppo non tutti i webmaster sono solerti nell’aggiornare i plugin, trattenuti anche dal timore che l’aggiornamento di uno di essi vada a creare una reazione “a catena” capace di bloccare o quantomeno rendere problematica la corretta navigazione del sito.

 

Ecco un elenco dei plugin che, per popolarità di utilizzo e potenziale dannosità, sono da ritenere “sorvegliati speciali”.

1)   Yoast SEO

Oltre 5 milioni di installazioni attive

Progettato per migliorare il posizionamento SEO dei siti, è vulnerabile agli attacchi cross-site scripting, il più recente dei quali è stato identificato nell’agosto 2021. Questi attacchi XSS possono consentire, fra l’altro, la creazione di un nuovo account amministratore, la creazione di reindirizzamenti arbitrari, fino al controllo completo del sito.

La versione 5.0.4 del plugin sana questa vulnerabilità.

 

2)     Woocommerce

Oltre 5 milioni di installazioni attive

Un plug-in utilizzato dai siti e-commerce e per tale motivo molto appetibile agli hacker, che tentano di sfruttarne ogni minima debolezza.

Il rischio principale è quello di un furto di dati dei clienti fino addirittura alla distruzione dei dati stessi.

L’impatto della vulnerabilità riscontrata a luglio 2021 è particolarmente grave perché riscontrata in tutte le versioni disponibili (ne ho parlato anche in questo articolo).

La software house produttrice del plug-in è corsa ai ripari imponendo un aggiornamento forzato del software su buona parte dei siti coinvolti, ma rimane ancora un numero imprecisato di siti ad elevato rischio in quanto non coinvolti nell’aggiornamento automatizzato.

 

3)     Contact Form 7

Oltre 5 milioni di installazioni attive

Probabilmente il più popolare plugin per la creazione di form compilabili, nel dicembre 2020 è stato segnalato per una vulnerabilità critica in grado di consentire all’attaccante il furto delle informazioni trasmesse dall’utente al sito web e l’accesso completo al sito compromesso.

La versione 5.3.2 è in grado di sanare questa vulnerabilità.

 

4)     Elementor

Oltre 5 milioni di installazioni attive

È uno dei più utilizzati “builder”, che permettono costruire i siti web in modalità “drag-and-drop”. A marzo 2021 è stato segnalato alla comunità wordpress per una vulnerabilità XSS che può potenzialmente permettere all’attaccante il controllo completo del sito.

Per essere considerato sicuro, deve essere aggiornato almeno alla versione 3.1.4, ma esiste un numero elevatissimo di siti web non aggiornati e quindi a rischio compromissione.

 

5)     W3 Total Cache

Oltre 1 milione di installazioni attive

Un plug-in che migliora le performance del sito web (e di conseguenza anche il posizionamento SEO). Spesso segnalato per problemi di vulnerabilità, le ultime 2 sono state descritte a giugno 2021 (XSS e RCE).

Le vulnerabilità sono state sanate con l’aggiornamento 2.5.1.

 

6)     Ninja Forms

Oltre 1 milione di installazioni attive

I moduli compilabili sono oggetto di particolare attenzione da parte degli hacker in quanto la trasmissione delle informazioni fra utente e server è un punto di attacco appetibile.

A causa della sua popolarità, questo plugin è un obiettivo frequente di attacchi di hacking, che ne rende indispensabile l’aggiornamento.

A gennaio 2021 sono state sanate 4 differenti vulnerabilità, con l’update 3.4.34.1.

 

7)     Duplicator

Oltre 1 milione di installazioni attive

Duplicator è un popolare plugin WordPress utilizzato per migrare, copiare, spostare o clonare un sito da una posizione all’altra, ma serve anche come semplice utility di backup.

La vulnerabilità individuata a febbraio 2020 ha permesso agli aggressori di esportare il contenuto di un numero imprecisato di siti WordPress. Gli hacker potevano anche scaricare file riservati e rubare le credenziali del database.

Gli sviluppatori hanno rilasciato un aggiornamento critico nella versione 1.3.28 di Duplicator e nella versione 3.8.71 di Duplicator Pro.

 

8)     NextGen Gallery

Oltre 700mila installazioni attive

È uno dei plug-in più utilizzati per creare gallerie fotografiche. A dicembre 2020 è stato più volte segnalato per vulnerabilità critiche che permettevano l’esecuzione arbitraria di codice e altre tipologie di attacco.

Per essere sicura, la versione installata deve essere almeno la 3.5.0.

 

9)     WP Statistics

Oltre 600mila installazioni attive

Un plug-in che permette una rappresentazione visiva delle principali metriche di traffico sul sito, deve la sua popolarità anche alla caratteristica di non appoggiarsi (e quindi condividere i dati) con servizi di terze parti. La riservatezza delle informazioni può però essere violata se il software non è aggiornato almeno alla versione 13.0.8 rilasciata a marzo 2021.

 

10)  SEOPress

Oltre 100mila installazioni attive

Un altro popolare plug-in per l’ottimizzazione SEO. Anche per questo software è stata rilevata ad agosto 2021 una vulnerabilità XSS che può portare l’attaccante al controllo completo del sito.

La patch che sana questo problema è la 5.0.4.

Riepilogando

Le innumerevoli e frequenti vulnerabilità di WordPress sono figlie dell’enorme diffusione del software e della quantità impressionante di add-on che vengono realizzati costantemente. La maggior parte delle software house e degli sviluppatori indipendenti agiscono rapidamente e correggono prontamente i problemi riscontrati. Al proprietario del sito, o meglio ancora al suo webmaster, resta la responsabilità di mantenere aggiornato il sito alla versione più recente disponibile.

Una buona pratica, prima di ogni intervento, è quella di eseguire una copia di sicurezza del sito, in modo da poter ripristinare la funzionalità dello stesso qualora si riscontrasse una incompatibilità o un qualsiasi altro problema di aggiornamento.

Per i siti più semplici e con pochi plug-in installati è possibile procedere in autonomia, mentre per i siti più complessi o business-critical è sicuramente consigliabile rivolgersi ad un esperto che conosca la piattaforma utilizzata e le varie componenti software/hardware coinvolte.

Se hai trovato interessante questo articolo, condividilo con la tua rete di contatti.

Hai suggerimenti? Vuoi condividere la tua esperienza? Commenta l’articolo qui sotto!