WordPress è il CMS più utilizzato nel mondo dello sviluppo web e di conseguenza è anche il CMS già vulnerabile; tra gli attacchi che più frequentemente interessano un sito WordPress troviamo gli SQL Injection.

Che cos’è l’attacco SQL Injection e come prevenirlo

SQL Injection è una tecnica di attacco informatico utilizzata per sfruttare le vulnerabilità nei sistemi che gestiscono database relazionali.

In particolare, un attaccante può inserire, attraverso l’interfaccia di un’applicazione web o software, del codice SQL malevolo in una query SQL, con l’obiettivo di manipolare il comportamento del database.

Come può verificarsi un attacco SQL Injection su WordPress

Plugin e Temi Vulnerabili:

• La maggior parte delle vulnerabilità di SQL Injection in WordPress deriva da plugin e temi di terze parti. Se un plugin o un tema non valida o non sanifica correttamente l’input dell’utente prima di usarlo in una query SQL, può essere vulnerabile a un attacco di SQL Injection.
• Un plugin che permette agli utenti di cercare nel database senza sanificare correttamente l’input potrebbe eseguire query SQL malevole inserite dall’utente.

Form di Input non Protetti:

• Se un modulo di input (come un modulo di contatto, una ricerca o un modulo di registrazione) non è protetto adeguatamente, un attaccante potrebbe inserire del codice SQL malevolo nei campi di input per manipolare le query SQL eseguite dal database.

Parametri URL:

• Alcuni plugin o temi potrebbero utilizzare parametri URL direttamente nelle query SQL senza sanificarli, permettendo a un attaccante di manipolare le query tramite URL malformati.

File Personalizzati:

• Se un sito WordPress ha file PHP personalizzati che eseguono query SQL senza utilizzare le API sicure di WordPress (come wpdb->prepare()), possono essere vulnerabili a SQL Injection.

Come funziona un attacco SQL Injection

Quando un’applicazione non valida correttamente gli input forniti dagli utenti, c’è il rischio che venga inserito del codice SQL malevolo nei campi di input (come campi di testo, URL, o cookie); di conseguenza questo codice viene poi eseguito dal database, permettendo all’hacker di:

• Accedere a dati non autorizzati: Leggere dati sensibili come credenziali di accesso, informazioni personali, ecc.
• Modificare o cancellare dati: Cambiare o eliminare informazioni nel database.
• Eseguire comandi amministrativi: Ad esempio, eliminare intere tabelle o database.
• Bypassare l’autenticazione: Accedere a un sistema senza conoscere le credenziali legittime.

Esempio di SQL Injection

Immagina un’applicazione che autentica un utente con una query SQL come questa:

SELECT * FROM utenti WHERE username = ‘admin’ AND password = ‘password’;

Se l’applicazione non filtra adeguatamente gli input, un hacker potrebbe inserire qualcosa come:

admin’ OR ‘1’=’1

Il risultato sarebbe una query:

SELECT * FROM utenti WHERE username = ‘admin’ OR ‘1’=’1′ AND password = ‘password’;

Questa condizione è sempre vera, consentendo all’hacker di accedere all’interno del sistema.

Come proteggere il tuo sito WordPress dagli attacchi SQL

L’SQL Injection è una delle vulnerabilità più comuni e pericolose, ma può essere prevenuta con una corretta gestione e sicurezza del codice.

1. Utilizzare query parametriche: Separare il codice SQL dai dati, utilizzando prepared statements o stored procedures.
2. Validare e sanificare gli input: Rimuovere o codificare i caratteri speciali dagli input forniti dagli utenti.
3. Limitare i privilegi dell’utente del database: L’utente del database utilizzato dall’applicazione dovrebbe avere i minimi privilegi necessari.
4. Utilizzare ORM (Object-Relational Mapping): Gli ORM astraggono il livello SQL e riducono il rischio di SQL Injection.
5. Monitoraggio e logging: Implementare meccanismi di monitoraggio per rilevare e rispondere rapidamente a eventuali attacchi.

Per prevenire questi tipi di attacchi sul tuo Sito WordPress ti consigliamo di:

• Aggiornare Regolarmente WordPress, Plugin e Temi: Assicurarsi che il core di WordPress, i plugin e i temi siano sempre aggiornati alle ultime versioni, che includono patch di sicurezza per vulnerabilità note.

• Utilizzare Plugin e Temi Affidabili: Scaricare plugin e temi solo da fonti affidabili, come il repository ufficiale di WordPress, e verificare che siano mantenuti attivamente dagli sviluppatori.

• Utilizzare le API di WordPress per l’Accesso al Database: Utilizzare l’API wpdb di WordPress, in particolare il metodo wpdb->prepare(), per eseguire query SQL in modo sicuro. Questo metodo sanifica automaticamente i dati in ingresso, esempio:

global $wpdb;
$username = $_POST[‘username’];
$query = $wpdb->prepare(“SELECT * FROM utenti WHERE username = %s”, $username);
$results = $wpdb->get_results($query);

• Implementare WAF (Web Application Firewall): Un WAF può bloccare tentativi di attacco, incluso SQL Injection, analizzando il traffico in entrata e filtrando richieste sospette.
• Monitorare e Loggare le Attività: Utilizzare plugin di sicurezza per monitorare il sito e tenere traccia delle attività sospette. I log possono aiutare a identificare e rispondere rapidamente a tentativi di SQL Injection.
• Utilizzare la Convalida degli Input: Validare e sanitizzare tutti gli input dell’utente. Ad esempio, utilizzare funzioni come sanitize_text_field(), esc_sql(), e altre funzioni di escaping fornite da WordPress.
• Limitare i Privilegi del Database: L’utente del database utilizzato da WordPress dovrebbe avere solo i privilegi minimi necessari per eseguire l’applicazione. Ad esempio, evitare di usare un account con privilegi di amministrazione completa del database.

Come risolvere il problema

Per risolvere il problema dell’SQL Injection, è fondamentale adottare una serie di pratiche di sviluppo sicure che riducono o eliminano la possibilità che un attaccante possa iniettare codice SQL malevolo. Ecco alcune delle principali tecniche e strategie per prevenire l’SQL Injection:

Utilizzare Prepared Statements (Query Parametriche)

Le query parametriche separano il codice SQL dai dati, impedendo che l’input dell’utente venga interpretato come parte della query SQL. La maggior parte dei linguaggi di programmazione e delle librerie di accesso ai database supporta prepared statements.

Esempio in PHP con PDO:

$stmt = $pdo->prepare(“SELECT * FROM utenti WHERE username = :username AND password = :password”);
$stmt->execute([‘username’ => $username, ‘password’ => $password]);

In questo esempio, :username e :password sono parametri che vengono sostituiti con valori sicuri, eliminando il rischio di SQL Injection.

Utilizzare ORM (Object-Relational Mapping)

L’uso di ORM (come Hibernate per Java, Entity Framework per .NET, o SQLAlchemy per Python) può aiutare a prevenire l’SQL Injection poiché queste librerie costruiscono automaticamente le query e gestiscono la sanificazione degli input.

Esempio con SQLAlchemy in Python:

user = session.query(User).filter_by(username=username).first()

L’ORM si occupa di generare le query SQL in modo sicuro, riducendo il rischio di iniezioni SQL.

Sanificare e Validare gli Input

È importante validare e sanificare tutti gli input dell’utente, rimuovendo caratteri speciali o proibiti e assicurandosi che l’input rispetti il formato previsto.

Esempi di validazione:

1. Limitare la lunghezza dei campi di input.
2. Utilizzare espressioni regolari per controllare il formato dell’input (ad esempio, email, numeri di telefono).
3. Escaping dei caratteri speciali come apici singoli (‘), doppi apici (“), backslash (\), …

Utilizzare Stored Procedures

Le stored procedures, se implementate correttamente, possono contribuire a ridurre il rischio di SQL Injection poiché separano il codice SQL dai dati e possono essere progettate per accettare solo parametri sicuri.

Esempio in SQL Server:

CREATE PROCEDURE GetUser
@username NVARCHAR(50),
@password NVARCHAR(50)
AS
BEGIN
SELECT * FROM utenti WHERE username = @username AND password = @password;
END

Gestire gli Errori in Modo Sicuro

Non esporre dettagli degli errori SQL all’utente finale; i messaggi di errore possono fornire indizi agli attaccanti su come è strutturato il database.

Esempio di gestione degli errori in PHP:

try {
$stmt = $pdo->prepare(“SELECT * FROM utenti WHERE username = :username”);
$stmt->execute([‘username’ => $username]);
} catch (PDOException $e) {
// Log the error but don’t show details to the user
error_log($e->getMessage());
echo “Si è verificato un errore. Riprova più tardi.”;
}

Eseguire Test di Sicurezza

Regolarmente condurre test di sicurezza, come penetration testing e code reviews, per identificare e correggere eventuali vulnerabilità di SQL Injection prima che possano essere sfruttate.

Conclusioni

Un attacco SQL Injection può essere devastante per un sito WordPress, ma seguendo queste linee guida è possibile prevenire questi attacchi e mantenere il sito sicuro.

Ti ricordiamo di effettuare sempre backup regolari del tuo sito WordPress per poter ripristinare rapidamente il sito in caso di compromissione; per esempio noi di Xlogic offriamo ai nostri clienti lo strumento di backup automatico JetBackup che permette di ripristinare un backup parziale o completo in due semplici click, per ottenere maggiori informazioni consulta questa guida –> JetBackup – Backup automatico 

Inoltre noi di Xlogic offriamo ai nostri clienti un antivirus avanzato in grado di rilevare migliaia e migliaia di virus / malware ed attacchi hacker, per ottenere maggiori informazioni consulta questa pagina –> Imunify 360 – Suite di sicurezza avanzata

Se sei nostro cliente ed hai bisogno di maggiori informazioni puoi contattarci tramite il modulo di contatto, via mail o via ticket.

Come verificare i conflitti tra i plugin di WordPress

Verificare i conflitti tra i plugin di WordPress è un processo che richiede un po’ di pazienza, ma è essenziale per mantenere il tuo sito funzionante correttamente.

Ecco una guida che ti permetterà di identificare e risolvere i conflitti tra i vari plugins:

Che cos’è un conflitto dei plugins WordPress

Un conflitto tra plugin di WordPress si verifica quando due o più plugin o temi entrano in contrasto tra loro, causando malfunzionamenti del sito web, ma in che modo possono manifestarsi questi conflitti?

• Pagina bianca: Al posto della home page del tuo sito web, vedrai una pagina completamente bianca.
• Errori di visualizzazione: Parti del sito potrebbero non essere visualizzate correttamente, con layout distorti o elementi mancanti.
• Funzionalità interrotte: Funzionalità specifiche del sito potrebbero smettere di funzionare, ad esempio un modulo di contatto che non invia più messaggi o un carrello che non permette di completare gli acquisti.
• Messaggi di errore: Potrebbero apparire messaggi di errore PHP o avvisi che indicano problemi con il codice.
• Rallentamenti: Il sito potrebbe diventare notevolmente più lento, o addirittura bloccarsi, a causa di richieste di risorse in conflitto tra loro.

Le principali cause dei conflitti tra i plugins WordPress

I conflitti tra plugin di WordPress possono essere causati da una serie di fattori, ti forniamo le principali cause:

• Incompatibilità: Un plugin potrebbe non essere compatibile con un altro a causa di codice sovrapposto o funzioni simili implementate in modi diversi.
• Aggiornamenti: Aggiornamenti di WordPress, dei plugin o del tema possono introdurre nuove funzioni o cambiamenti che entrano in conflitto con altri plugin non aggiornati.
• Codice non ottimizzato: Plugin sviluppati male o non conformi agli standard di codifica di WordPress possono causare conflitti con altri plugin ben codificati.
• Funzioni duplicate: Se due plugin offrono funzionalità simili o identiche, potrebbero interferire tra loro.

Backup Completo del Sito

Prima di iniziare qualsiasi operazione, ti consigliamo di eseguire un backup completo del tuo sito (file e database); puoi farlo manualmente oppure puoi usufruire di un servizio di backup automatico che ti permetterà di ripristinare in maniera rapida e semplice il tuo backup parziale o completo. Per esempio su Xlogic offriamo JetBackup, lo strumento di backup automatico che ti permetterà di ripristinare in due semplici click il backup direttamente dal pannello di controllo cPanel Hosting.

Attivazione della Modalità Debug di WordPress

Abilita la modalità debug per visualizzare eventuali errori PHP:

• • Apri il file wp-config.php nella root del tuo sito.
  • Trova la linea che dice define('WP_DEBUG', false); e cambiala in define('WP_DEBUG', true);.
  • Se vuoi salvare i log in un file, puoi anche aggiungere define('WP_DEBUG_LOG', true);

Disattiva e riattiva tutti i Plugins

Se riesci ad accedere all’interno del backend di WordPress segui queste indicazioni:

• Accedi alla dashboard di WordPress e vai alla sezione Plugin.
• Seleziona tutti i plugin e disattivali contemporaneamente.
• Riattiva i plugin uno alla volta e verifica il sito dopo ogni attivazione.
• Dopo aver attivato un plugin, ricarica il sito per vedere se il problema si ripresenta. Se il problema si ripresenta, l’ultimo plugin attivato è probabilmente la causa del conflitto.

Altrimenti devi accedere via FTP o tramite il gestore file di cPanel e seguire queste indicazioni:

• Accedi all’interno della cartella public_html > wp_contents > plugins
• Rinomina il nome di ciascun plugin
• Inserisci nuovamente il nome originale del plugin e verifica se il problema si ripresenta.

Cambia Temporaneamente il Tema

A volte, il problema potrebbe non essere nei plugins ma nel tema, quindi ti consigliamo di cambiare il tema attuale con uno di default di WordPress; se il problema si risolve significa che il problema è stato causato dal tema.

Controllo dei Log di Errore

• Controlla il file debug.log nella cartella wp-content (se hai abilitato WP_DEBUG_LOG). Questo file conterrà eventuali errori che si verificano e può darti indizi su quale plugin o funzione stia causando il problema.
• Puoi anche visualizzare gli errori dal file Error_Log, per maggiori informazioni consulta questa guida.

Utilizzo di Plugin per la Gestione dei Conflitti

Esistono plugin che possono aiutarti ad individuare i conflitti come ad esempio Health Check & Troubleshooting; questo plugin ti permette di attivare una modalità di risoluzione dei problemi in cui puoi testare il sito senza influenzare i visitatori.

Contatta il Supporto

Se hai identificato un plugin specifico come causa del problema, puoi contattare gli sviluppatori del plugin stesso oppure puoi cercare soluzioni nei forum di supporto di WordPress.

Ripristino del Backup (se necessario)

Se il problema non viene risolto o se peggiora, puoi ripristinare il sito utilizzando il backup creato all’inizio del processo.

Aggiornamenti

Assicurati che WordPress, tutti i plugin e i temi siano aggiornati all’ultima versione, poiché gli aggiornamenti spesso risolvono bug e conflitti.

Seguendo questi passaggi, dovresti essere in grado di individuare e risolvere eventuali conflitti tra i plugin di WordPress.

Se hai bisogno di ottenere maggiori informazioni puoi contattarci tramite il Form di Contatto del sito o tramite mail.

Alla prossima!

Gli attacchi alla supply chain (o catena di fornitura) sono una forma sofisticata di attacco informatico che si verifica quando un hacker compromette un sistema o un servizio per infiltrarsi nei suoi sistemi informatici.

Questi attacchi non prendono di mira direttamente il bersaglio finale, ma una parte della sua catena di approvvigionamento, come software di terze parti, fornitori di servizi o componenti hardware, che poi permettono l’accesso ai sistemi principali.

In che cosa consiste un attacco alla Supply Chain?

La sicurezza della supply chain è un tema cruciale per chiunque gestisca un sito WordPress, dato che WordPress è il sistema di gestione dei contenuti (CMS) più utilizzato al mondo.

Un attacco alla supply chain nel contesto di WordPress si verifica quando un componente software di terze parti (come un plugin, un tema, o un servizio esterno) è compromesso ed attraverso questo componente gli hacker riescono ad infiltrarsi nel sistema principale del sito web.

Questo tipo di attacco sfrutta una vulnerabilità che non si trova all’interno del codice sorgente, vediamo insieme come la CISA (Agenzia per la sicurezza delle infrastrutture e la cybersicurezza degli Stati Uniti) ha descritto questi attacchi:

Questi attacchi si verificano “quando un soggetto malevolo si infiltra all’interno del network di un fornitore di software e impiega codice malevolo per compromettere il software prima che il venditore lo invii ai clienti. Il software compromesso poi, a sua volta, compromette i dati o i sistemi dei clienti“.

Attacchi alla Supply Chain nei Plugin WordPress

Nel contesto di WordPress, gli attacchi alla supply chain stanno aumentando principalmente attraverso i plugin e i temi, ma in che modo possono avvenire?

• Compromissione del codice sorgente: Gli hacker possono ottenere l’accesso ai repository di codice sorgente dei plugin e introdurre codice malevolo; questo codice può includere backdoor, malware o funzionalità che consentono agli attaccanti di prendere il controllo del sito WordPress.
• Distribuzione di Plugin malevoli: Gli attaccanti possono creare plugin o temi apparentemente innocui e distribuirli attraverso marketplace di terze parti o siti web; in questo modo una volta installati, questi plugin possono eseguire azioni dannose senza che l’utente ne sia a conoscenza.
• Aggiornamenti compromessi: Gli hacker possono colpire il processo di aggiornamento dei plugin, inserendo codice malevolo nelle versioni più recenti di un plugin popolare, pertanto in questo modo gli utenti che aggiornano il plugin alla nuova versione diventano vittime inconsapevoli dell’attacco.
• Utilizzo di credenziali compromesse: Se gli sviluppatori di plugin utilizzano password deboli o riutilizzano le credenziali, gli hacker possono accedere all’interno dei loro account e manipolare il codice del plugin.

Perché gli attacchi stanno aumentando su WordPress

Gli attacchi alla supply chain nei plugin WordPress sono in aumento per diversi motivi:

• Popolarità di WordPress: WordPress è una piattaforma estremamente attraente per gli hacker in quanto più del 40% di tutti i siti web presenti sul web sono stati costruiti con WordPress.
• Grande Ecosistema di Plugin e Temi: Ci sono migliaia di plugin e temi disponibili, molti dei quali sviluppati da piccole aziende o sviluppatori individuali che potrebbero non avere risorse per garantire la sicurezza del loro codice.
• Aggiornamenti di Sicurezza Inefficaci: Gli utenti spesso non aggiornano i loro plugin regolarmente, lasciando vulnerabilità conosciute sfruttabili dagli hacker.
• Mancanza di Verifica dei Plugin: Molti plugin non sono sottoposti ad una revisione di sicurezza rigorosa prima di essere distribuiti.

Esempi di Plugin WordPress oggetto di questi attacchi

• Plugin Spam SEO: Alcuni plugin popolari sono stati venduti a sviluppatori malevoli che hanno poi aggiunto codice per generare spam SEO sui siti degli utenti; per esempio il plugin “Display Widgets” è stato rimosso dal repository ufficiale di WordPress dopo che è stato scoperto che includeva codice per iniettare spam.
• SolarWinds: Sebbene non direttamente legato a WordPress, l’attacco alla supply chain di SolarWinds è uno dei più noti; gli hacker hanno compromesso il software di gestione della rete, permettendo loro di infiltrarsi in numerose aziende ed agenzie governative.
• AccessPress Themes: A gennaio 2022, è stato scoperto che circa 40 temi e 50 plugin di AccessPress contenevano backdoor che permettevano agli hacker di prendere il controllo dei siti WordPress che li utilizzavano.

Inoltre sono stati segnalati anche questi plugins WordPress:

• Social Warfare versioni fino alla 4.4.7.1 – la patch si trova nella versione 4.4.7.3
• Blaze Widget versione fino alla 2.5.2 – al momento non c’è una versione dotata di patch
• Wrapper Link Element versione fino alla 1.0.3 – per questo plugin sembra esserci stata una azione manuale sulla versione 1.0.0. che ha rimosso il problema ma non c’è una versione ufficiale con una patch
• Contact Form 7 Multi-Step Addon versione alla 1.0.5 – anche per questo plugin per ora non c’è una versione dotata di patch
• Simply Show Hooks versione fino alla 1.2.1 – anche questo plugin non ha patch ancora
• WP Server Health Stats versione 1.7.6 – la versione dotata di patch è la numero 1.7.8
• Ad Invalid Click Protector versione 1.2.9 – la versione dotata di patch è la numero 1.2.10
• PowerPress Podcasting plugin by Blubrry versione fino alla 11.9.4 – la versione dotata di patch è la numero 11.9.6
• Seo Optimized Images versione 2.1.2 – la patch è nella versione 2.1.4
• Pods – Custom Content Types and Fields nella versione 3.2.2
• Twenty20 Image Before-After nelle versioni 1.6.2 e .3 e 1.5.4
• WPCOM Member nelle versioni 1.3.16, 1.3.15

Misure di Sicurezza per Proteggere i Plugin dalla Supply Chain

Per proteggere il tuo sito WordPress dagli attacchi alla supply chain, è fondamentale adottare una serie di misure preventive e correttive, di seguito i principali passaggi che dovresti seguire:

• Utilizzare solo plugin da fonti affidabili: Scarica plugin solo dal repository ufficiale di WordPress o da sviluppatori rinomati con una solida reputazione.
• Aggiornamenti regolari: Mantieni sempre aggiornati i plugin ed i temi di WordPress. Gli aggiornamenti spesso includono patch di sicurezza per vulnerabilità note.
• Verifica le recensioni e le valutazioni: Controlla le recensioni e le valutazioni degli utenti per i plugin; fai attenzione ai plugin con recensioni negative o una storia di vulnerabilità.
• Implementare misure di sicurezza aggiuntive: Utilizza firewall applicativi (WAF) e plugin di sicurezza, e attiva l’autenticazione a due fattori (2FA) per gli account amministrativi.
• Antivirus avanzato: Noi di Xlogic offriamo ai nostri cliente un antivirus avanzato in grado di rilevare migliaia e migliaia di virus / malware ed attacchi hacker, per ottenere maggiori informazioni consulta questa pagina –> Imunify 360 – Suite di sicurezza avanzata
• Monitoraggio del sito: Utilizza strumenti di monitoraggio per rilevare attività sospette sul tuo sito web, in questo modo potranno aiutarti ad identificare anomalie nel traffico e nel comportamento del sito.
• Esegui Backup regolari: Effettua backup regolari del tuo sito WordPress per poter ripristinare rapidamente il sito in caso di compromissione; per esempio noi di Xlogic offriamo ai nostri clienti lo strumento di backup automatico JetBackup che permette di ripristinare un backup parziale o completo in due semplici click, per ottenere maggiori informazioni consulta questa guida –> JetBackup – Backup automatico 
• Controllo dei permessi dei plugin: Rivedi e limita i permessi richiesti dai plugin; assicurati che i plugin non abbiano accesso a funzionalità che non sono necessarie per il loro funzionamento.
• Audit di sicurezza: Considera di effettuare audit di sicurezza periodici sui tuoi plugin, specialmente quelli sviluppati internamente o da piccoli sviluppatori.
• Blocca le vecchie versioni: Configura WordPress per bloccare l’uso di vecchie versioni dei plugin che sono note per essere vulnerabili.

Conclusione

Gli attacchi alla supply chain rappresentano una minaccia crescente per la sicurezza informatica, specialmente per le piattaforme popolari come WordPress.

La consapevolezza e l’adozione di pratiche di sicurezza efficaci sono essenziali per proteggere i siti web e gli utenti da queste sofisticate forme di attacco. Mantenere una vigilanza costante e rimanere informati sulle ultime minacce è fondamentale per gestire i rischi associati a questi attacchi.