Popup Builder è uno dei plugin per WordPress più utilizzati in assoluto.
Esso è un ottimo strumento per far apparire popup nelle nostre pagine web. Facile intuire quante possibilità per fare marketing possa offrire uno strumento del genere.
Nelle scorse ore, però, è stata scoperta una vulnerabilità che, se utilizzate il plugin, potrebbe mettere a rischio il vostro sito web. Vediamo come risolvere il problema.
Popup Builder: scoperta della vulnerabilità
A scoprire la vulnerabilità del plugin sono stati gli sviluppatori di WordFence, famosa estensione che ha lo scopo di rendere più sicuro WordPress.
Essi hanno scoperto la vulnerabilità il 4 marzo e l’hanno segnalata immediatamente al team di Popup Builder. La notizia, ovviamente, è uscita fuori solo ora che il problema è stato risolto.
Dalla versione 3.64.1 del plugin, infatti, la vulnerabilità non è più presente. Questa versione è stata rilasciata l’11 marzo.
Changelog
Il changelog (la lista delle modifiche) dell’aggiornamento 3.64.1, purtroppo, non ci spiega quale fosse la vulnerabilità.
Gli sviluppatori di Popup Builder, infatti, hanno spiegato solo che ci sono stati dei “security fixes“. Essi, probabilmente, hanno voluto essere generici per evitare che qualche malintenzionato potesse sfruttare questa vulnerabilità sui siti che hanno versioni non ancora aggiornate del plugin.
Grazie a WordFence, però, siamo in grado di fare qualche ipotesi circa la natura di queste vulnerabilità.
Popup Builder: quali sono le vulnerabilità?
Sono stati individuati due tipi di vulnerabilità.
Il primo permette ai malintenzionati di inserire un codice JavaScript all’interno dei tuoi popup. Inutile spiegare quanti danni potrebbe fare una cosa del genere.
Il secondo tipo, invece, consente di scaricare una lista con i dati personali di coloro che li hanno forniti attraverso uno dei popup del plugin.
Gli esperti di WordFence hanno dichiarato:
“In genere, gli aggressori utilizzano una vulnerabilità come questa per reindirizzare i visitatori del sito verso siti di spam o per rubare informazioni sensibili dai loro browser. Questi dati potrebbero essere utilizzati anche per rubare il sito attaccato, se un amministratore ha visitato o visualizzato in anteprima una pagina contenente il popup infetto durante l’accesso”.
Come risolvere il problema
Popup Builder è uno strumento essenziale per chi fa marketing. Esso permette di raccogliere (legalmente) i dati degli utenti e creare con essi la propria lista di contatti.
Non poter garantire agli utenti il massimo della sicurezza quando inseriscono i dati in uno dei nostri popup, quindi, sarebbe una tragedia. Inizieremmo a non acquisire nuovi contatti e il nostro piano marketing potrebbe arenarsi come una balena al sole.
Per risolvere il problema, però, la soluzione è semplicissima. Tutto quello che dovrete fare sarà andare nella pagina dei plugin del vostro sito WordPress e aggiornare Popup Builder.
Fatto ciò, potrete garantire di nuovo il massimo della sicurezza ai vostri utenti.
Un altro piccolo consiglio che vi diamo è quello di cambiare le password degli account con i quali amministrate il sito. Potreste essere stati attaccati anche voi e qualche malintenzionato potrebbe rubarvi dati importanti e tutto il vostro sito.