Scelta del tema per WordPress e ripercussioni sulla sicurezza.

ATTENZIONE: questo articolo è stato scritto oltre un anno fa, ed i contenuti potrebbero non essere più validi o compatibili. Sei pregato di tenerne conto, e se hai informazioni in merito di segnalarmele, grazie.

Temi WordPress pericolosi come evitarli

A costo di sembrare noioso, torno sull’importanza della scelta di un tema per WordPress, e su come questo fattore possa essere determinante sul livello di sicurezza di un sito.

Ecco – dirai tu – mo’ questo ci attacca il solito pippone sugli aggiornamenti…

No, non ti voglio tediare con il solito pippone questa volta, tanto l’ho capita che gli aggiornamenti o li fai a modino o non li fai proprio, e dopo tocca a quelli come me rimediare quando il sito smette di funzionare, o te lo bucano.

Questa volta vorrei provare a metterti di fronte ad un caso reale riguardante la scelta del tema, un vero problema di sicurezza, scoperto di recente e che riguarda quattro temi venduti in migliaia di copie.

La storia: quattro temi premium per WordPress pericolosi, ancora in vendita.

La notizia è della settimana scorsa, una vulnerabilità grave del tipo “Privileges Escalation” è stata individuata in quattro temi premium venduti sul solito Themeforest.

Magari è un tema che stai usando, o che hai usato per qualche tuo cliente.

I temi in questione, tutti dello stesso autore e tutti con la medesima vulnerabilità, per la cronaca sono Pont, Simpolio, Teardrop e Vernissage.

Probabilmente, come accade di solito in questi casi chi ha individuato la vulnerabilità ha cercato prima di avvisare l’autore dei temi, e successivamente ha reso pubblico il problema, magari per la mancata risposta del diretto interessato.

Sta di fatto però che i temi sono ancora al loro posto, regolarmente in vendita.

Guardando meglio si scopre che, di questi quattro temi, quello più aggiornato risale a novembre 2014, un altro a settembre 2014, uno a febbraio sempre dello stesso anno e uno addirittura è stato aggiornato per l’ultima volta nel 2012, stando al changelog.

Tentando di fare una stima dei possibili danni, di questi temi ne sono state vendute quasi 4.000 copie, senza contare quelli utilizzati in più siti e quelli che circolano per vie traverse.

Mettiamo che solo 2.000 installazioni siano effettivamente ancora attive, in giro per il mondo, cosa stanno rischiando?

Cos’è la vulnerabilità Privilege Escalation.

In parole povere, una vulnerabilità di questo tipo permette a dei malintenzionati di prendere il controllo di un’installazione, diventando di fatto degli utenti amministratori di WordPress. A questo punto possono fare quello che vogliono di quel sito, il caso più frequente è modificare il sito per i loro interessi, solitamente poco leciti.

Chi ne volesse sapere di più su questa vulnerabilità, lo rimando alla pagina di WikiPedia su Privilege Escalation.

Le vulnerabilità sono tutta colpa dello sviluppatore?

L’autore dei temi, molto probabilmente, non aveva nessuna intenzione di mettere in circolazione dei temi potenzialmente pericolosi.

Magari al tempo era uno sviluppatore alle prime armi, ha individuato in Themeforest una possibilità di crescita professionale (o di business) ed ha cercato di sfruttarla con le capacità a sua disposizione. Magari poi si è reso conto che non era il suo lavoro, o ne ha trovato uno migliore, ed ha mollato tutto.

Di fatto, marketplace come Themeforest per forza di cose sono zeppi di situazioni come queste.

C’è da dire che gli autori più seri, in più di un’occasione, sono stati i primi ad avvisare i propri clienti che un loro prodotto era pericoloso, sospendendolo dalla vendita e rilasciando in tempi brevi una versione corretta.

E Themeforest sta a guardare?

No, ma purtroppo non fa abbastanza, e non gli vengono certo risparmiate critiche in tal senso.

È vero che in alcuni casi Envato è intervenuto nel bloccare cautelativamente alcuni plugin e temi che per malware di vario genere si sono rivelati particolarmente dannosi, ma è successo poche volte, quasi sempre in ritardo, e solo nel caso di temi o plugin con numeri di diffusione importanti.

Di fatto controlli sistematici non ce ne sono, e pur comprendendo che con tali numeri sarebbe difficile attuare qualsiasi strategia di controllo preventivo, qualche piccola contromisura dovrebbe essere attivata.

Ad esempio, bloccare la vendita di temi e plugin che non vengono aggiornati da più di un tempo ragionevole, perché se il rischio di non essere più compatibili è praticamente certo, le possibilità di contenere vulnerabilità aumenta in modo importante.

Alcune librerie e funzioni PHP, ad esempio, che negli anni passati venivano usate senza problemi perché ritenute valide, con il tempo si sono rivelate pericolose.

In conclusione, chi deve fare attenzione nell’acquisto di temi (e plugin) per WordPress?

Ovviamente tu, altrimenti credo che si chiami incauto acquisto.

Consigli per l’acquisto di temi su Themeforest.

Cosa bisogna guardare, su Themeforest, per avere un minimo di qualità e sicurezza?

  1. Reputazione e portfolio dell’autore.
  2. Data di rilascio e dell’ultimo aggiornamento del tema.
  3. Frequenza degli aggiornamenti.
  4. Feedback degli utilizzatori.
  5. Risposte dell’autore alle segnalazioni di malfunzionamenti o richieste di assistenza.

Le credenziali dell’autore sono tra le prime cose che controllo, quando valuto un tema o un plugin premium su Themeforest.
Non è difficile incappare in vere e proprie strutture di sviluppo che preferiscono commercializzare i propri lavori sul più noto tra i marketplace. È più vantaggioso vendere un tema a basso costo a migliaia di utenti, piuttosto che poche copie a clienti diretti.

Altrettanto facile incappare in giovani sviluppatori alle prime armi, senza pagine web di riferimento dove sia possibile saperne di più, o contattarli. Questo non significa che i loro prodotti devono essere scarsi per forza, ma quando devo scegliere un tema per un cliente ho bisogno di maggiori garanzie.

Frequenza, costanza e contenuti degli aggiornamenti.
Il changelog è una miniera d’oro per scoprire la bontà di un tema, si possono capire le attenzioni degli sviluppatori alle problematiche di sicurezza, di compatibilità con WordPress, e non meno importante l’attenzione ai feedback dei clienti.
Se un tema viene rilasciato in gennaio, e non riceve aggiornamenti fino a settembre, mi suona male. Strano che una prima versione del tema non richieda aggiustamenti, o che sia priva di difetti di gioventù. Mi viene il sospetto che l’autore non lo segua più di tanto.

Commenti, richieste di aiuto e risposte degli sviluppatori.
Ci sono più complimenti, lamentele o richieste di aiuto? Gli autori rispondono velocemente ed in modo risolutivo? C’è dialogo tra clienti ed autori?
Sono fattori importanti, perché oltre a mettere in evidenza le attenzioni e la professionalità degli autori, un domani potrei essere io a aver bisogno di aiuto o informazioni.

Il numero di temi venduti è importante, ma non determinante.
Molti temi sono parecchio venduti grazie al passaparola, o perché gli autori hanno investito in promozione. Sicuramente sono buoni temi, altrimenti il feedback sarebbe negativo.
Alcuni temi invece hanno poche vendite, forse solo perché non sono ancora noti, ma questo non significa che la qualità sia minore. Spesso, in temi con meno vendite, gli autori sono più incentivati a soddisfare le richieste dei clienti, ed ottenere un buon passaparola.
Ecco quindi che trovi temi con poche copie vendute ma con buon feedback, e tanto dialogo e collaborazione con i clienti, un aspetto che non va sottovalutato.

Certo che se poi…

La frequenza degli aggiornamenti, il changelog, il feedback, a parole sono tutte belle cose, ma sono tutte assolutamente inutili se poi il tema, una volta installato, non viene più aggiornato da parte dell’utilizzatore…

Tags: , , , , , ,

2 Risposte a “Scelta del tema per WordPress e ripercussioni sulla sicurezza.”

  1. Paolo 29 Giu 2015 at 10:35 #

    Ottimi consigli, come sempre Rob… ma che si fa quando acquisti un tema con migliaia di vendite, 4 stelline, aggiornamenti costanti e feedback lusinghieri e poi, di punto in bianco, vai su Themeforest e leggi: “Download not available. Item removed”?
    Parlo di Trego per WordPress, un bel tema per ecommerce, sul quale sono stati costruiti non pochi negozi virtuali che – però – da un paio di settimane è scomparso nella versione WordPress pur sopravvivendo ancora per Magento, Joomla ed HTML.
    Che si fa, se dopo che scrivi 2, 3, 4… volte agli autori per cercare di capire quale destino hanno riservato al loro ‘figliolo’ neppure si prendono la briga di rispondere? Altro che: “one of the most complete theme ever created”… meglio dire: “one of the worst disappointments ever had”. A volte non bastano neppure tutte le cautele e l’attenzione di questo mondo per evitare una ‘sola’.

    • Roberto Rota 29 Giu 2015 at 11:50 #

      Ciao Paolo, tocchi un argomento importante che mi sono scordato di inserire, seppure anch’io sono stato scottato da un paio di esperienze analoghe in passato.

      Themeforest come sempre in questi casi non si assume nessuna responsabilità, scaricando il barile interamente sugli autori che il più delle volte, in questi casi, si dileguano.

      Il mio primo e-commerce su wordpress l’ho realizzato quando woocommerce era agli albori, ed avevo scelto un tema che inglobava un sistema proprio per la gestione di prodotti e carrello, fatto pure bene a mio avviso tanto che lo scelsi per il lavoro che stavo realizzando.

      Il tema in questione ha subito due o tre aggiornamenti nel corso di pochi mesi, poi basta. Sul momento non c’ho fatto particolarmente attenzione, fino a quando è stata rilasciata na major release di WP ed il tema ha smesso di funzionare.

      Panico totale! Vado a vedere ed il tema nel frattempo è stato rimosso, leggo un po’ di commenti in rete di utenti imbufaliti e nessuna risposta da parte dell’autore.

      Ripristino il backup con la precedente versione di WP e salvo capra e cavoli, ma a questo punto non mi fidavo più del tema in uso, se è scomparso così un motivo doveva pur esserci, e nel giro di pochi giorni ho imbastito per il cliente un’alternativa con quel WooCommerce di cui leggevo gran bene ma che non avevo mai usato.

      Tutto è bene quello che finisce bene, ma da quell’esperienza sono maturate un paio di scelte che caratterizzano il mio modo di lavorare su queste tipologie di siti, prima fra tutte la massima standardizzazione con WooCommerce, per non precludermi mai la possibilità di cambiare tema in volata si rendesse necessario.

      Un problema simile mi è capitato con un altro tema, anche questo rimosso per motivi non chiarissimi ma probabilmente di sicurezza, ma in questo caso gli autori sono stati molto più professionali ed hanno rilasciato nel giro di poche ore una patch che risolveva il problema, pur avvisando che lo sviluppo del tema si sarebbe interrotto, ma perlomeno hanno tappato il buco e permesso agli utenti di avere il tempo di guardarsi intorno.

      rob

Dubbi o suggerimenti? Lascia un commento!

I love Instagram