I gestori di WordPress dichiarano con orgoglio di aver creato la prima piattaforma di editoria personale al mondo, con quasi il 24 per cento dei siti Web che utilizzano l’editor per realizzare pagine e portali Internet. Ma, forse, dovrebbero anche pensare di più alla sicurezza dei loro “avventori”. Nelle ultime settimane WordPress ha infatti dovuto risolvere alcuni seri problemi di vulnerabilità, a cui se ne è da poche ore aggiunto un altro, portato alla luce dagli esperti di Sucuri. In questo caso, la falla riguarderebbe due plugin: JetPack, strumento per migliorare le performance dei siti e Twenty Fifteen, per ottenere lo scroll infinito delle pagine. Secondo David Dede, ricercatore di Sucuri, si tratta di bug molto difficili da risolvere, perché riguardano il pacchetto “genericons”. È un contenitore che presenta al suo interno icone vettoriali embeddate in un font. Dentro “genericons” si trova però un file, chiamato “example.html”, che potrebbe spalancare le porte agli hacker se sfruttato nel modo giusto.
Oltre alla difficoltà di risoluzione del problema, l’ulteriore aggravante è che l’estensione Twenty Fifteen viene installata di default con WordPress, esponendo così potenzialmente al pericolo milioni e milioni di siti. “Genericons” è, nel dettaglio, sensibile alle vulnerabilità di tipo cross-site scripting (Xss): falle che colpiscono i siti dinamici che adottano un controllo insufficiente dell'input nei form. In questo caso, il codice maligno eseguito dai cybercriminali viene lanciato in seguito alla modifica del Document Object Model (Dom) di un browser. Il Dom è un Api ed è lo standard ufficiale del consorzio W3C per la corretta rappresentazione di documenti Html e Xml.
L’ambiente Dom in esecuzione viene modificato dall’attaccante mentre l’utente non è in grado di accorgersene: le pagine visualizzate a schermo rimangono infatti identiche, ma sottotraccia inizia a lavorare il codice maligno, che viene eseguito direttamente lato client e senza passare dal server. In questo modo, nemmeno i firewall sul Web riescono a identificare la minaccia.
Per cadere nelle mani degli hacker, la vittima deve però cliccare prima su un link corrotto. La buona notizia è che gli operatori di Sucuri dovrebbero essere riusciti a chiudere la falla, così come altri provider, tra cui GoDaddy e DreamHost. In attesa di una soluzione alla portata di tutti, però, gli esperti di sicurezza consigliano di rimuovere completamente il file example.html dalla cartella “genericons”.