Gli store online, i portali di informazioni e altri tipi di risorse spesso si basano su piattaforme che forniscono agli sviluppatori una serie di tool pronti all’uso. Il nostro blog, ad esempio, è stato creato in questo modo. Le funzionalità sono spesso offerte mediante plugin e gli utenti possono aggiungere quelli di cui hanno bisogno e quando è necessario. Da un lato, è un sistema comodo per gli sviluppatori che, per così dire, non devono “reinventare la ruota” ogni qualvolta abbiano bisogno di un tool o di una funzionalità in particolare. Dall’altro, però, quanti più plugin di terze parti si trovano sul sito, maggiore è il rischio che qualcosa vada storto.
Il problema dei plugin
Il plugin è un piccolo modulo software che aggiunge o migliora le funzionalità di un sito. Ci sono plugin che offrono widget per i social network, per raccogliere dati statistici, creare questionari o altri tipi di contenuti, solo per fare qualche esempio.
Se collegate un plugin al motore del vostro sito, si avvia automaticamente e verrete interpellati solo se c’è qualche problema di operatività (ovvero se qualcuno nota l’errore). Ed è qui che risiede il pericolo di questi moduli: se chi ha creato il plugin lo abbandona al suo destino o lo vende a un altro sviluppatore, non ve ne renderete neanche conto.
Plugin vulnerabili
I plugin che non vengono aggiornati da anni è probabile che contengano vulnerabilità non risolte che possono essere sfruttate dai cybercriminali per prendere il controllo di un sito o per caricarvi un keylogger, un miner di criptomonete o qualunque cosa vogliano.
Anche quando gli aggiornamenti sono disponibili, i proprietari del sito spesso non ci fanno caso e i moduli vulnerabili rimangono attivi anche quando non viene più offerta assistenza che li riguardi.
A volte chi crea i plugin risolvono le vulnerabilità ma per una qualsiasi ragione le patch non vengono installate automaticamente. Ad esempio, in alcuni casi gli autori del modulo semplicemente si dimenticano di cambiare il numero della versione dell’aggiornamento. Di conseguenza, i clienti che si affidano all’aggiornamento automatico e non si preoccupano di verificare la presenza di aggiornamenti, si ritrovano con dei plugin datati.
Sostituzione dei plugin
Alcune piattaforme di gestione dei contenuti di un sito bloccano il download dei moduli per i quali non si offre più assistenza. Tuttavia, lo sviluppatore o la piattaforma non possono eliminare i plugin vulnerabili dai siti degli utenti perché potrebbe provocare l’interruzione del servizio o qualcosa di peggio.
Inoltre, i plugin abbandonati possono anche non trovarsi sulla piattaforma ma su servizi disponibili per tutti. Se il suo creatore interrompe l’assistenza o elimina un modulo, il sito continua ad accedere al container in cui si trovava. I cybercriminali possono appropriarsi o clonare facilmente il container abbandonato e obbligare a scaricare il malware al posto del plugin.
È esattamente quanto accaduto con il tweet counter New Share Counts, ospitato sul servizio su cloud Amazon S3. Quando il servizio del plugin è stato interrotto, lo sviluppatore ha pubblicato un messaggio sul suo sito per mettere tutti al corrente ma oltre 800 clienti non lo hanno letto.
Passato un po’ di tempo, chi ha scritto il plugin ha chiuso il container su Amazon S3 e i cybercriminali ne hanno approfittato, creando uno storage con lo stesso nome e inserendovi uno script dannoso. I siti che continuavano ad utilizzare il plugin hanno iniziato a caricare il nuovo codice che, invece di reindirizzare al tweet counter, portava gli utenti a una risorsa di phishing che prometteva un premio a cambio di partecipare a un sondaggio.
Cambia il proprietario e gli utenti non lo sanno
Invece di abbandonare le proprie creazioni, a volte gli sviluppatori le vendono senza fare una grande selezione dei possibili acquirenti. Ciò vuol dire che un cybercriminale può facilmente acquistare un modulo e, in tal caso, il prossimo aggiornamento potrebbe servire per inviare un malware al vostro sito.
È molto difficile identificare questi plugin, spesso è solo questione di fortuna.
Tenete sempre sotto controllo i plugin sul vostro sito
Come avete potuto vedere, esistono vari modi per infettare un sito attraverso i plugin installati, e la piattaforma di hosting non sempre può provvedere a tutto. Per questo motivo, vi consigliamo di monitorare voi stessi il livello di sicurezza dei plugin presenti sul vostro sito:
- Stilate un elenco dei plugin utilizzati sulle vostre risorse e raccogliete le informazioni sui loro storage. Verificate e aggiornate regolarmente questa lista;
- Leggete le notificazioni inviate dagli sviluppatori dei software di terze parti che utilizzate e dei siti attraverso i quali si distribuiscono questi software;
- Mantenete sempre aggiornati i plugin. Se il servizio offerto dal plugin viene interrotto, sostitute il plugin il prima possibile;
- Se per una qualche ragione non avete più bisogno di uno dei siti della vostra azienda e non ve ne occuperete più, non dimenticate di eliminare tutti i suoi contenuti, plugin compresi. Altrimenti, è solo questione di tempo prima che salti fuori qualche vulnerabilità e i cybercriminali se ne approfittino per colpire la vostra azienda;
- Formate adeguatamente il personale che lavora con siti di pubblico accesso affinché sappiano gestire adeguatamente le minacce informatiche moderne. La nostra piattaforma ASAP può esservi di grande aiuto.