Recentemente ho notato, presso alcuni clienti, diversi tentativi di compromettere le installazioni di WordPress, con lo scopo di iniettare codice malevolo da distribuire ad incauti visitatori del sito. Decidere di usare WordPress è sicuramente un ottima scelta per la maturità del progetto, il numero plugin a disposizione, la flessibilità e la vasta comunità di supporto, ma si è oggetto nel contempo ad attacchi di vario genere. Uno dei più gettonati è sicuramente l’utilizzo dell’editor dei temi e dei plugin per modificare il file function.php del tema in uso.

Che cos’è l’editor dei temi e dei plug-in?

In WordPress è integrata la possibilità di modificare online tutti i file dei temi e dei plugin, tramite un editor testuale integrato direttamente dal back-end di amministrazione. Tale funzionalità può risultare comoda per effettuare rapide correzioni al volo, magari in emergenza, senza bisogno di lavorare tramite FTP o equivalenti.

Come funziona l’attacco?

Nel caso in cui qualcuno ottenga o indovini la password di un account amministratore, risulta estremamente facile compromettere il sito, anche tramite script automatizzati, col risultato che ripristinando i file originali del tema, questi verrebbero presto infettati nuovamente in maniera del tutto automatica. Rispetto ad altre forme di attacco, non è necessario venire a conoscenza della password FTP (in quanto quasi tutte le installazioni di WordPress hanno i permessi di scrittura nella cartella wp-content) e non viene sfruttato nessun bug (funziona anche con le ultime versioni aggiornate).

Come disabilitare l’editor

Per disabilitare completamente l’editor integrato nel backend di amministrazione, è necessario modificare il file wp-config.php ed aggiungere la seguente riga:

define( 'DISALLOW_FILE_EDIT', true );

In questa maniera nemmeno gli amministratori potranno modificare i file dei temi e dei plugin, per cui nella malaugurata ipotesi che la password di un admin venga compromessa, non si è esposti a questo tipo di attacco. Nella pagina di gestione dei plugin (wp-admin/plugins.php) scomparirà la voce Modifica tra le azioni disponibili sotto ogni plugin correntemente installato. La voce Editor sotto il menu Aspetto verrà anch’essa rimossa. Tentando di accedere alle pagine wp-admin/theme-editor.php e wp-admin/plugin-editor.php si otterrà l’errore “Devi farti autorizzare per accedere a questa pagina”. La possibilità di aggiornare i temi e i plug-in direttamente dall’admin di WordPress resta attivata.