Il team di sicurezza di WPScan, l’azienda leader sulla sicurezza di WordPress recentemente acquisita da Automattic, ha diffuso la notizia di una grave vulnerabilità del plugin di cache per WordPress WP Fastest Cache. Questa vulnerabilità permette di leggere con relativa facilità tutti i dati presenti all’interno del database di un sito WordPress su cui è installato.
Argomenti principali
La soluzione al problema di sicurezza è già stata rilasciata con l’aggiornamento alla versione 1.2.2 del plugin, che risolve pienamente il bug. Se sei già un cliente Ergonet allora puoi stare tranquillo: entro 24 ore dalla pubblicazione dell’aggiornamento che risolve il bug di sicurezza, abbiamo automaticamente aggiornato tutte le versioni vulnerabili di Wp Fastest Cache per tutti coloro che hanno acquistato un nostro hosting per wordpress.
Ma vediamo insieme quanto è grave questa falla di sicurezza, quali versioni di WP Fastest cache sono vulnerabili e cosa fare per proteggersi.
WP Fastest cache: a cosa serve?
WP Fastest Cache è uno dei plugin di cache più famosi per WordPress, conta oltre 1 milione di installazioni attive e quasi 4000 recensioni con un voto medio di 4,9 su 5. Insomma non è proprio l’ultimo arrivato nella directory ufficiali dei plugin di WordPress.
Il plugin presenta due versioni, una free e una premium. Già dalla versione free sono comunque presenti tante funzionalità per rendere veloce un sito in WordPress, ottimizzare risorse come CSS/Javascript e sfruttare la cache del browser.
Quanto è grave questo problema di sicurezza?
La vulnerabilità scoperta nel plugin a Novembre 2023 è estremamente critica, ha infatti ricevuto un punteggio di 8.6 su 10 secondo il Common Vulnerability Scoring System (CVSS), il metodo globale per valutare la gravità delle falle di sicurezza informatiche.
Nello specifico parliamo di una vulnerabilità di tipo SQL Injection. Questo tipo di attacco sfrutta delle debolezze nella gestione delle query SQL, quindi nelle interrogazioni al database di un sito web.
In un attacco SQL Injection, gli hacker possono inserire o meglio iniettare (in inglese appunto injection), codice aggiuntivo nelle query SQL già programmate dallo sviluppatore del plugin. Questo permette ad utenti malintenzionati di recuperare dati sensibili, alterare o cancellare informazioni e, nei casi più gravi, prendere il controllo dell’applicazione web.
Quali versioni del plugin sono vulnerabili?
Le versioni di Wp Fastest Cache affette dal problema di sicurezza sono tutte quelle minori della versione 1.2.2, l’ultima versione attualmente disponibile rilasciata. Ecco come si presenta il plugin lato backend di WordPress:
Nella cartella dei plugin di WordPress, che puoi visualizzare tramite qualsiasi file manager oppure via SFTP o shell, lo troverete scritto in questo modo:
Sintomi di un sito attaccato con questa vulnerabilità
Questa vulnerabilità non da segni specifici del suo sfruttamento. Tramite questa particolare SQL injection, è infatti possibile esclusivamente leggere i dati presenti nel database ma, fortunatamente in questo caso, non è possibile alterare quelli già esistenti o scriverne di nuovi.
Non potendo modificare o aggiungere alcun dato nel database, non è quindi possibile compromettere il sito web in alcun modo. Ma allora perché questa falla di sicurezza è così importante e in Ergonet abbiamo deciso di agire aggiornando questo plugin per proteggere tutti i clienti che l’hanno installato?
Il database di un sito WordPress contiene i dati sensibili degli utenti: nomi, cognomi, indirizzi e-mail e anche dati di fatturazione e indirizzi di spedizione in caso di siti e-commerce. Che tu sia un appassionato o un professionista del digitale, hai sicuramente una nomina come titolare del trattamento dei dati o come responsabile esterno del trattamento dei dati presenti sul sito web.
Il GDPR sancisce che devi implementare misure tecniche e organizzative adeguate per garantire la sicurezza dei dati. Pur non essendo una vulnerabilità che consenta una compromissione diretta del sito web, influisce sulla tua posizione come titolare o responsabile esterno del trattamento dei dati. Meglio non rischiare no?
Cosa fare per proteggersi?
Lo sviluppatore del plugin ha prontamente risposto alla problematica di sicurezza segnalata da WPScan, rilasciando la versione aggiornata 1.2.2 di WP Fastest Cache il 16 Novembre 2023. Aggiornando il plugin a questa versione, tutti gli utenti possono assicurarsi una protezione efficace.
Data la serietà della vulnerabilità e la sua potenziale sfruttabilità, seguendo il nostro protocollo di sicurezza, abbiamo aggiornato entro 24 ore tutte le installazioni di WP Fastest Cache alla versione 1.2.2 sui siti WordPress ospitati presso i nostri servizi di hosting.
Conclusioni e fonti
Questo episodio dimostra quanto possa essere critica una falla di sicurezza anche quando non consenta una compromissione diretta del sito web. La capacità di leggere dati sensibili dal database rappresenta infatti una minaccia significativa alla privacy e alla sicurezza dei dati degli utenti e può mettere in discussione la professionalità di appassionati, professionisti e agenzie che si occupano della gestione e manutenzione del sito web.
Ancora una volta grazie alla risposta rapida e efficace da parte dello sviluppatore del plugin e del nostro staff, abbiamo messo in sicurezza migliaia di siti web.
Fonti: Wordfence, Patchstack, WpScan.
Trasmetto nel mondo online e offline i valori di Ergonet: la voce del servizio clienti, il codice degli sviluppatori e l’infrastruttura dei sistemisti. Lavoro nel settore hosting da più di 15 anni, amo internet e cerco di renderlo migliore ogni giorno che passa.
