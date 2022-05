Si tratta di uno dei plugin maggiormente scaricati dagli utenti di WordPress e sono state evidenziate grosse criticità che potrebbero esporre ad attacchi hacker circa 500.000 siti creati con il famoso CMS.

WordPress è il CMS più utilizzato per la creazione di siti web in tutto il mondo; tuttavia, i rischi per la sicurezza possono essere dietro l’angolo. Non è la prima volta che gli utenti e la protezione dei loro dati vengono messi in pericolo e, questa volta, la falla si trova all’interno del plugin Elementor Website Building. La soluzione alla criticità è però arrivata in modo quasi immediato e, sebbene sviluppatori professionisti e hosting per WordPress abbiano immediatamente aggiornato il software, ci sono comunque 500.000 siti a rischio di attacco hacker.

Gli hacker possono avere facilmente accesso ai dati contenuti nei siti WordPress

WordPress è il software più utilizzato al mondo nella creazione di siti web e, secondo i dati diffusi da W3Techs, il 43% dei siti oggi esistenti è stato creato sfruttando la famosa piattaforma di Content Management System. Si tratta di uno strumento conosciuto per essere semplice e alla portata di tutti, eppure pare che il CMS abbia un grave problema di sicurezza che in molti non hanno ancora risolto. Gli esperti della società di cyber-security Plugin Vulnerabilities hanno infatti rilevato una falla nel sistema, notando attività sospette del plugin Elementor Website Builder. Nel report pubblicato dai ricercatori, si evidenzia come il plugin abbia presentato dei problemi già a partire dalla sua versione 3.6.0, permettendo ad hacker e malintenzionati di eseguire un codice da remoto e prendendo poi possesso del sito web. Così facendo, i siti sarebbero esposti a gravi pericoli, rischiando di rendere note ai pirati informatici informazioni estremamente riservate, con conseguenze anche gravi per le vittime.

Si tratta di un problema di sicurezza che nasce da una mancanza di controllo dei requisiti di accesso necessari al file module.php, verifica che sarebbe normalmente richiesta in condizioni ottimali, specialmente se non si rientra tra gli utenti del sito.

In questo modo, la falla di sicurezza consentirebbe a chiunque di avere accesso alla funzionalità plug_and_install_pro(), permettendo quindi di inviare file pericolosi per il sistema dell’utente e consentendo al malintenzionato l’esecuzione del codice da remoto. La preoccupazione è connessa quindi al mancato controllo delle autorizzazioni che dovrebbero essere invece verificate. Sono molti i siti che fanno uso del plugin e sarebbero più di 500.000 quelli che non hanno ancora risolto la criticità e che potrebbero vedere il loro sito sotto il controllo di un hacker. Si tratta di una falla che non esisterebbe nelle versioni precedenti a quella 3.6.0 e che a quanto pare è risolvibile con l’aggiornamento alla 3.6.3 e successive.

Elementor risolve il bug ma il 70% degli utenti è comunque a rischio

Seppure la criticità possa avere conseguenze anche estremamente serie, gli sviluppatori di Elementor si sono già messi all’opera per rilasciare una nuova versione in cui il rischio di attacchi possa essere risolto mettendo in sicurezza gli utenti. La vulnerabilità, definita grave dai suoi stessi creatori, può trovare una soluzione negli aggiornamenti 3.6.3 e successivi ed è per queste ragioni che si consiglia agli utenti di scaricarle, in maniera tale che questi errori possano essere risolti. Inoltre, per evitare che si manifestino altri scenari simili in futuro, sarebbe opportuno attivare gli aggiornamenti automatici del plug-in, in modo che eventuali problemi possano essere risolti in maniera automatica. Specialmente se non si possiedono conoscenze di programmatori esperti, questo stratagemma potrebbe consentire di limitare possibili danni relativi alla sicurezza del proprio sito web. Gli aggiornamenti sono infatti efficaci per risolvere bug di sistema che si verificano in situazioni simili.

La risposta alla criticità del plugin, per quanto sia grave, anche alla luce dell’enorme quantità di utenti che ne fa uso, è però arrivata in maniera molto veloce e gli sviluppatori hanno subito elaborato una risoluzione del bug non appena questo è venuto alla luce. Fa però riflettere come il 70% degli utenti sia però fermo alle versioni precedenti a Elementor 3.6, che sono lontane anni luce da quelle esistenti oggi. Queste possono infatti presentare problemi di vulnerabilità che sono in realtà già stati risolti e superati e che potrebbero essere causa di danni anche molto gravi. Questi mancati aggiornamenti riguardano un totale di 3.500.000 installazioni a rischio di attacco hacker ogni giorno, che si potrebbero facilmente evitare con l’installazione delle versioni successive. Nonostante sia possibile che la maggior parte di questi siti creati con WordPress sia stata in realtà abbandonata, è importante sapere che le vulnerabilità però rimangono anche quando nessuno abbia più intenzione di usarli, rendendoli in questo modo terreno fertile per attacchi fraudolenti. Tra i rischi abbiamo ad esempio quello di diffusione di dati sensibili o comunque privati, con tutti i pericoli che ne conseguono. Per questi motivi è importante tenere sempre sotto controllo gli aggiornamenti, anche dei siti che non si ha più intenzione di utilizzare in quanto, fintanto che essi rimangono su internet, possono essere facilmente colpiti in caso di scarsa protezione.

Aggiornare il sistema può prevenire attacchi hacker. La falla di Elementor ha quindi messo a rischio molti degli utenti che tutti i giorni usano WordPress per la creazione del proprio sito web. Gli sviluppatori hanno lavorato fin da subito e con successo alla risoluzione del problema in questione e la criticità della versione 3.6.0 può essere facilmente risolta con l’aggiornamento alle versioni successive del plugin.