Due plugin WordPress molto diffusi, King Addons per Elementor e ACF Extended, sono finiti sotto la lente dei ricercatori di sicurezza a causa di vulnerabilità critiche che possono permettere a un attaccante di prendere il controllo completo di un sito.
Se utilizzi WordPress per il tuo sito aziendale o per il tuo e-commerce, questa non è una notizia da prendere alla leggera: potresti avere una porta spalancata sul tuo sito senza nemmeno saperlo.
La forza di WordPress sta proprio nell’ecosistema di temi e plugin che permette di aggiungere facilmente funzionalità e personalizzazioni. Ogni plugin, però, introduce nuovo codice e, con esso, potenziali falle di sicurezza.
In questo caso parliamo di estensioni che sono spesso presenti su siti reali. King Addons è un set di widget e funzionalità extra per Elementor, utilizzato per arricchire le pagine con elementi grafici e blocchi avanzati. ACF Extended, invece, estende le funzionalità di Advanced Custom Fields, uno strumento molto usato da agenzie e sviluppatori per gestire campi e contenuti personalizzati.
Il problema è che in alcune versioni di questi plugin sono state scoperte vulnerabilità con punteggio di gravità critico, già sfruttate attivamente in attacchi reali.
Nei rilasci vulnerabili di King Addons for Elementor è presente un grave errore nella gestione della registrazione degli utenti. In pratica, un attaccante può inviare una richiesta al sito e registrarsi autonomamente come amministratore, senza alcuna autenticazione o controllo.
Tradotto in termini semplici: chiunque, da Internet, può creare un utente admin sul tuo sito e fare esattamente le stesse cose che fai tu o la tua web agency. Alcuni provider di sicurezza hanno già registrato decine di migliaia di tentativi di sfruttare questo problema contro siti che utilizzano questo plugin.
La vulnerabilità in ACF Extended è ancora più profonda, perché si tratta di una Remote Code Execution (RCE) non autenticata. Questo significa che, in determinate versioni, un aggressore può inviare una richiesta costruita ad hoc e far eseguire al server codice arbitrario a sua scelta. Una volta ottenuta questa possibilità, il campo di manovra dell’attaccante è enorme: può installare una backdoor e restare nascosto a lungo, creare nuovi amministratori, leggere o modificare i dati presenti nel database, oppure usare il tuo sito come piattaforma per campagne di phishing o diffusione di malware.
In entrambi i casi stiamo parlando di vulnerabilità classificate come critiche, per le quali esistono già Proof of Concept pubbliche e tentativi di sfruttamento documentati sul campo.
Se il tuo sito utilizza ancora versioni non aggiornate di King Addons o ACF Extended, le conseguenze possibili non sono affatto teoriche. Il tuo sito potrebbe subire un defacement, cioè essere modificato, oscurato o mostrare pagine “hackerate” in modo evidente. Potresti subire un furto di dati, che può coinvolgere il database utenti, gli ordini, le email e varie informazioni personali.
Esiste inoltre il rischio che il sito finisca in blacklist, cioè nelle liste nere di browser e motori di ricerca, perché utilizzato per distribuire malware o contenuti malevoli. Questo avrebbe un impatto immediato sulla reputazione: i tuoi clienti potrebbero imbattersi in avvisi di sicurezza, pagine compromesse o errori gravi. A tutto ciò si aggiunge il danno SEO, con un possibile calo di posizionamento e di traffico se Google rileva contenuti sospetti o malevoli.
Il problema più subdolo è che molte di queste attività possono avvenire senza che nessuno del tuo team se ne accorga subito.
Un primo controllo puoi farlo in autonomia, in pochi minuti. Accedi alla bacheca di WordPress con un account amministratore e apri la sezione dedicata ai plugin installati. A questo punto verifica se nella lista compaiono plugin come “King Addons for Elementor” o componenti con nomi simili legati a King Addons, e se tra i plugin vedi “ACF Extended” o “Advanced Custom Fields: Extended”.
Se uno di questi plugin è presente, controlla quale versione è installata, informazione che trovi sotto il nome del plugin, e verifica se è disponibile un aggiornamento. Se non sei sicuro di quali siano le versioni sicure, una regola prudente è considerare a rischio qualsiasi plugin che non sia aggiornato all’ultima release disponibile.
Se hai trovato uno dei due plugin nel tuo sito, il primo passo è aggiornare immediatamente all’ultima versione disponibile dalla bacheca di WordPress. Se il plugin non è davvero essenziale per le funzionalità del sito, puoi anche valutare di disattivarlo e rimuoverlo del tutto.
Subito dopo, è opportuno controllare la sezione “Utenti” di WordPress, eliminare eventuali account sospetti, cambiare la password degli amministratori e, se possibile, abilitare l’autenticazione a due fattori (2FA) per rendere più difficile qualsiasi accesso non autorizzato. È utile anche esaminare, per quanto possibile, i log di accesso e gli ultimi cambiamenti effettuati: plugin installati di recente, file modificati in date insolite o attività anomale nell’area di amministrazione.
Se il sito gestisce dati sensibili, come ordini, aree riservate o informazioni sui clienti, può essere opportuno programmare un audit tecnico completo.
Non aspettare che sia troppo tardi!
Se non sei sicuro che il tuo sito sia davvero protetto o non ti senti a tuo agio nel gestire da solo questi controlli tecnici, chiedere aiuto è la scelta più prudente.
Con gli Strumenti di SitoWebSicuro puoi trovare supporto dedicato per analizzare il tuo WordPress, verificare i plugin installati e individuare eventuali falle prima che qualcuno le sfrutti al posto tuo. Un controllo oggi può evitarti un incidente molto più serio domani.
Fonte: Vulnerabilità critiche nei plugin WordPress: King Addons per Elementor e Extended nel mirino
