Wordpress, un plugin potrebbe inviare mail di phishing: vulnerabilità per oltre 20mila siti web

[Redazione di Hardware Upg]

Link alla notizia: https://www.hwupgrade.it/news/sicure...eb_104161.html

Il plugin WP HTML Mail può essere sfruttato, per via di una vulnerabilità, anche senza autenticazione e consente di inviare mail di phishing e di iniettare codice dannoso nel sito che ne fa uso

Click sul link per visualizzare la notizia.

[Tasslehoff]

E chissà quante ce ne saranno in giro di vulnerabilità altrettanto gravi se non di più.

Wordpress è un magnifico progetto e per molti aspetti lo amo, però meriterebbe un lavoro di rifacimento totale per trasformarlo in qualcosa di più simile a Drupal.
Ormai è usato troppo e a sproposito per fare tutto e il contrario di tutto usando plugin di ogni tipo, spesso scritti coi piedi e spesso abbandonati dopo pochi anni senza più aggiornamenti.

Il peggio però è dietro le quinte, da quando è diventato così popolare sono spuntate figure "professionali" (le virgolette non sono casuali) del tutto fantasiose come il celebre "sviluppatore Wordpress" (semmai php? no, perchè di php non sanno nulla, conoscono solo plugin di Wordpress... ), oppure ho visto anche gente vantarsi del titolo di "Wordpress social media manager"
A queste si aggiungono personaggi di dubbia professionalità che si inventano "amministratori Wordpress", e di fatto non fanno altro che insozzare i siti di altri plugin senza sapere NULLA dei servizi su cui gira il sito in questione, su come fare un minimo sindacale di hardening, manutenzione o disaster recovery.

Mah sono sconfortato... per non dire inc...

[cronos1990]

Il problema non è che è usato troppo o a sproposito. Il problema è che Wordpress è sempre stato un colabrodo lato sicurezza.

E il bello è che più lo usi, più ti rendi conto delle magagne sotto questo punto di vista. Sul mio ultimo sito, per dire, solo di recente ho realizzato che tra le tante magagne (di cui tante ho messo la pezza in anticipo... esperienza fatta negli anni ) c'è quella che la schermata di login per l'admin è "identica" per ogni sito
E wordpress non prevede di default la possibilità di cambiarla, devi per forza affidarti ad un plugin esterno.


Cioè...

[rikyxxx]

Quote:

Originariamente inviato da Redazione di Hardware Upgrade

Link alla notizia: https://www.hwupgrade.it/news/sicure...eb_104161.html

Il plugin WP HTML Mail può essere sfruttato, per via di una vulnerabilità, anche senza autenticazione e consente di inviare mail di phishing e di iniettare codice dannoso nel sito che ne fa uso

Click sul link per visualizzare la notizia.

Un plugin che ha 20.000 installazioni stimate è poca roba. Ci sono plugin con più di 5 milioni di installazioni attive stimate.

Direi che la cosa è toppo piccola per lanciare un grido d'allarme...

Anche perchè non è automatico che chi abbia installato quel plugin sia bucabile al 100%, ci sono altri fattori in gioco.

[rikyxxx]

Quote:

Originariamente inviato da cronos1990

Il problema non è che è usato troppo o a sproposito. Il problema è che Wordpress è sempre stato un colabrodo lato sicurezza.

Per nulla, basta sapere quello che si sta facendo. Dopotutto la piattaforma opensource Wordpress (contrariamente a quanto si pensa per via della sua diffusione) non è nata ad uso e consumo delle masse.

Se uno non è del mestiere è meglio che si faccia il suo blog su Wordpress.com, cosi come non è colpa di WP se uno vuole giocare a fare il webmaster ma poi risultati, in termini di sicurezza ed efficienza, lasciano a desiderare...

- - -

Ti posso assicurare che i siti wp che ho sviluppato io e che amministro in prima persona, per i miei clienti, non sono mai stati bucati. Anche quelli che hanno milioni di views all'anno.

Poi si può bucare tutto per carità, ma non diamo la colpa a chi o cosa non ce l'ha, please.

Quote:

Originariamente inviato da cronos1990

E il bello è che più lo usi, più ti rendi conto delle magagne sotto questo punto di vista. Sul mio ultimo sito, per dire, solo di recente ho realizzato che tra le tante magagne (di cui tante ho messo la pezza in anticipo... esperienza fatta negli anni ) c'è quella che la schermata di login per l'admin è "identica" per ogni sito
E wordpress non prevede di default la possibilità di cambiarla, devi per forza affidarti ad un plugin esterno.

Cioè...

A parte che si può fare senza plugin, ma non vedo perchè il core di Wordpress dovrebbe offrire di default la possibilità di cambiare l'URL (non "schermata", che non significa nulla, ma URL) di login e dove sta il problema nel farlo con un plugin.

E comunque la cosa non è nemmeno fondamentale, o meglio ci vuole molto di più per mettere in sicurezza un sito WP.

[rikyxxx]

Quote:

Originariamente inviato da Tasslehoff

E chissà quante ce ne saranno in giro di vulnerabilità altrettanto gravi se non di più.

Wordpress è un magnifico progetto e per molti aspetti lo amo, però meriterebbe un lavoro di rifacimento totale per trasformarlo in qualcosa di più simile a Drupal.

Cioè?

Wp è migliorabile e vorrei ben vedere il contrario con tutti gli anni che ha sulle spalle, ma non mi risulta che Drupal sia un CMS così avanzato e/o moderno da far invidia a WP stesso.

Quote:

Originariamente inviato da Tasslehoff

Ormai è usato troppo e a sproposito per fare tutto e il contrario di tutto usando plugin di ogni tipo, spesso scritti coi piedi e spesso abbandonati dopo pochi anni senza più aggiornamenti.

Il peggio però è dietro le quinte, da quando è diventato così popolare sono spuntate figure "professionali" (le virgolette non sono casuali) del tutto fantasiose come il celebre "sviluppatore Wordpress" (semmai php? no, perchè di php non sanno nulla, conoscono solo plugin di Wordpress... ), oppure ho visto anche gente vantarsi del titolo di "Wordpress social media manager"
A queste si aggiungono personaggi di dubbia professionalità che si inventano "amministratori Wordpress", e di fatto non fanno altro che insozzare i siti di altri plugin senza sapere NULLA dei servizi su cui gira il sito in questione, su come fare un minimo sindacale di hardening, manutenzione o disaster recovery.

Mah sono sconfortato... per non dire inc...

Quelle figure "professionali" rispondono a una precisa domanda di mercato.

C'è chi vuole spendere poco. O magari deve spendere poco, non giudico nessuno. Ma alla fine se dai poco ottieni per forza poco, è sempre stato così.

[rikyxxx]

P.S.
Aggiungo che io sono ben felice che esistano questi sedicenti "professionisti" dilettanti, perchè chi li ha provati sulla propria pelle ha poi meno voglia di discutere i miei prezzi...

[Tasslehoff]

Quote:

Originariamente inviato da rikyxxx

Cioè?

Wp è migliorabile e vorrei ben vedere il contrario con tutti gli anni che ha sulle spalle, ma non mi risulta che Drupal sia un CMS così avanzato e/o moderno da far invidia a WP stesso.

Beh insomma, la logica di WP è pur sempre quella di un blog, è solo tramite plugin di terze parti che riesce a emulare la struttura di un sito generico (o specialistico diverso, tanto che c'è chi lo usa anche per fare e-commerce).
Il core di Drupal non ha niente da invidiare a CMS enterprise tipo quelli di Oracle o IBM, ha una tassonomia solida, poi ha anche meccanismo di caching più che validi e che Wordpress non ha per niente (salvo anche qui appoggiarsi a plugin di terze parti).

Wordpress se vogliamo è più "semplice" da manutenere perchè out of the box ha meccanismi di upgrade più semplici da usare e che possono essere gestiti tranquillamente da web, senza scomodare la console (es drush o composer), però proprio la forte dipendenza di Wordpress dai plugin di terze parti lo rende anche fragile, basta una cavolata in un plugin o un plugin abbandonato e il castello crolla.
Out of the box Drupal è più solido e fornisce una architettura più completa e generica di Wordpress.

Quote:

Quelle figure "professionali" rispondono a una precisa domanda di mercato.

C'è chi vuole spendere poco. O magari deve spendere poco, non giudico nessuno. Ma alla fine se dai poco ottieni per forza poco, è sempre stato così.

Più che rispondere a una domanda di mercato imho rispondono alla incompetenza di chi commissiona i progetti, che si lascia abbindolare da figure evanescenti e che tecnicamente non hanno ragione di esistere.

Perfettamente d'accordo sulla tua conclusione, il punto è che questa logica dello "spendere poco" ha portato a dei danni enormi e anche a compromettere la reputazione di un prodotto (WP) che di per se è anche buono ed è oggettivamente una delle colonne portanti del web.

Quote:

Originariamente inviato da rikyxxx

P.S.
Aggiungo che io sono ben felice che esistano questi sedicenti "professionisti" dilettanti, perchè chi li ha provati sulla propria pelle ha poi meno voglia di discutere i miei prezzi...

Anche su questo possono essere d'accordo, <MILANESE_IMBRUTTITO>alla fine lavoriamo tutti per fatturare</MILANESE_IMBRUTTITO> e finchè ci sarà questa gente il lavoro non mancherà mai per chi ha voglia e capacità.
Però credo sarai d'accordo con me che (al di la di tante considerazioni serie, es sicurezza) tra lavorare a un progetto ben fatto e tappare i buchi a una cosa fatta con i piedi c'è una bella differenza, ed è certamente più divertente e stimolante la prima rispetto alla seconda