Chi utilizza WordPress molto probabilmente ha già utilizzato almeno una volta il plugin Contact Form 7 per la realizzazione di un form di contatto.
Questo plugin, uno tra i più installati in assoluto, è in questi giorni al centro di una massiccia campagna informativa che comunica una sua grave vulnerabilità che potrebbe rendere efficaci gli attacchi hacker nei confronti dei siti web che lo utilizzano. Anzi, stranamente in questo caso la pubblicazione di articoli che palesavano la necessità di mettersi al riparo da questa vulnerabilità di Contact Form 7 mi è sembrata infinitamente più massiccia rispetto a tanti altri casi di vulnerabilità di altri plugin.
Lo stesso sviluppatore lo annuncia in un comunicato che rende evidente l’urgenza di operare subito l’aggiornamento del plugin Contact Form 7, in quanto dalla sua release 5.3.2 questo problema è stato risolto. Se poi cercate in rete troverete un’infinità di blog che consigliano di fare la stessa cosa, o, in alternativa, di rimuovere immediatamente il plugin… niente di più giusto: rimosso il plugin rimossa la vulnerabilità!
Purtroppo però non sempre è cosi immediato e banale aggiornare un plugin: in questo caso ad esempio, Contact Form 7 richiede (e lo fa già da un po’ di tempo) una versione di WordPress pari almeno alla 5.4! E se qualcuno sta usando una versione di WordPress inferiore alla 5.0 può essere sicuro che il passaggio al nuova release sia indolore? In effetti probabilmente lo sarà, ma se questi aggiornamenti vi richiedessero una versione di PHP superiore a quella che sta girando sul vostro server? E se di conseguenza ci si trovasse ad utilizzare una versione del DataBase un po’ troppo obsoleta? Sto parlando di scenari molto particolari che del resto chi lavora con WordPress sa gestire senza problemi, ma purtroppo non è sempre cosi. A volte c’è il “fai-da-te” che si è installato il suo piccolo sito WordPress che non ha molta dimestichezza con questioni di server, DataBase e aggiornamenti. Quindi cosa deve fare? Rischiare e fare gli aggiornamenti? oppure cancellare il plugin?
Sebbene il mio consiglio sia per quanto possibile quello di mantenere sempre il sistema aggiornato, per casi malaugurati come quello descritto sopra ho scritto questo articolo solamente per rendere più evidente una cosa che nei mille che ho letto effettivamente risultava davvero poco evidente, e cioè che siccome il plugin ha la sua vulnerabilità celata in una scorretta sanificazione dei nomi dei file in caricamento, proprio per questo motivo il problema si presenta solamente se avete abilitato nel vostro form il campo che permette l’upload di un file! Quindi, non è il plugin di per se ad essere vulnerabile, ma esclusivamente quella sua funzione che, se non utilizzata, lascia il sito perfettamente sicuro!
Detto questo mi ripeto, la mia intenzione non è quella di suggerire comportamenti scorretti come quello di non mantenere il vostro CMS ben aggiornato, ma semplicemente togliere un po’ di ansia, se possibile.