24/08/2016 Wordpress 2 5108

Vulnerabilità nel plugin 404 to 301 per WordPress

Il plugin 404 to 301 per piattaforma Wordpress ha una seria vulnerabilità riscontrata fino alla versione 2.2.9, che permette una iniezione di link spam mascherati, dedicati per i motori di ricerca.

Riscontrata una vulnerabilità a causa di link cloacking e spam per la plugin #Wordpress 404 to 301 Condividi il Tweet

Ne ha dato notizia Wordfence in un suo articolo di una settimana fa e lo sviluppatore dell'estensione per WP è corso ai ripari aggiornando la plugin e rimuovendo il baco di sicurezza.

Cos'è il plugin 404 to 301 per Wordpress

404 to 301 Questo software, installato su oltre 70000 siti web realizzati in Wordpress, permette di:

Reindirizzare tutti gli errori 404 a una pagina esistente o a un URL personalizzato;
Monitorare tutti gli errori, senza aprire Google Search Console, direttamente dalla dashboard di WP o nel caso mediante delle notifiche email;
Scegliere il metodo con cui effettuare il redirect: permanente (301), temporaneo (302) o 307 (redirect temporaneo);

Perchè questo plugin è importante per la SEO

Come ho spiegato in altri articoli è opportuno, per la SEO on-page, evitare che alcuni URL, non più esistenti o modificati, generino un errore 404 (contenuto mancante) perché:

una pagina non più esistente infastidisce i visitatori, che rimangono frustati quando non trovano il contenuto;
peggiorano la SEO globale in quanto il motore di ricerca, se non viene rediretto in maniera corretta, elimina il contenuto dalla SERP;

Nel caso di reindirizzamento effettuato in maniera corretta, lo spider del motore di ricerca, a seguito di nuova scansione sposta il puntamento dello snippet relativo al risultato, al nuovo URL.

La vulnerabilità delle versioni obsolete di 404 to 301

Il plugin 404 to 301, ad una versione non aggiornata, effettua una iniezione di link a pagamento che sono visibili solo per i motori di ricerca e non all'utenza (cloacking).

Per poter visualizzare questi link è necessario cambiare il proprio user-agent (utilizzando ad esempio quello di Google) o effettuare una analisi mediante il tool di sicurezza di Google Search Console.

I siti che utilizzano questo plugin, ad una versione inferiore alla 2.2.9, rischiano perciò una penalizzazione manuale da parte di Google per utilizzo di link cloacking (scomparendo dalla SERP fino alla risoluzione del problema) o nelle migliore delle ipotesi un avviso di sito dannoso e la conseguente azione manuale.

WordFence ha identificato il problema a seguito della segnalazione di un utente, che lamentava di avere il sito compromesso con link nascosti all'utenza e che inviavano a contenuti diversi, e dopo aver identificato l'attacco a causa di script terzi nel plugin 404 to 301 ha pubblicato un articolo in cui spiegava la vulnerabilità, senza però avvertire l'autore del software.

Nel frattempo però a Joel James, l'autore che ha realizzato questo plugin, sono arrivate una moltitudine di recensioni negative per il suo plugin, a causa di questa falla di sicurezza. Joel ha provveduto il prima possibile a fissare il problema e a rilasciare un aggiornamento, ma sui Social e sulla directory di Wordpress sono comparsi molti commenti negativi.

In un post sul suo blog l'autore ha poi spiegato il problema, che a quanto pare è nato a seguito di una partnership con un altro sviluppatore, in cambio dei dati di utilizzo del plugin (numero di visitatori, user-agent e IP). Joel, per poter tracciare l'utenza aveva così inserito degli script risiedenti sul server di questo sviluppatore, che una volta compromessi hanno inserito questi link cloacking e spammosi nei siti dell'utenza che aveva installato il plugin.

Nel dettaglio Joel James ha poi frainteso le linee guida di Wordpress, non richiedendo il consenso all'utenza che utilizzava il suo plugin, all'invio dei dati a terzi.

Come rimuovere il problema nel plugin 404 to 301

Per risolvere questo problema è sufficiente aggiornare il plugin alla versione 2.3.0 o nel caso rimuovere il software e procedere diversamente al redirect degli errori 404 mediante una analisi degli errori presenti nel pannello di Google Search Console e a delle regole dedicate nel file .htaccess.

In alternativa è possibile utilizzare la versione PRO di Yoast SEO, che permette una funzionalità simile a quella di 404 to 301, dopo aver agganciato la plugin a Search Console.

Tag:

pino

Nato con la passione per l'informatica da mamma Access e papà ASP nel 2002 rinnego repentinamente la mia paternità facendomi adottare da papà PHP e mamma SQL.
Allevo HTML e correlati fiori in CSS mentre vedo i frutti del mio orticello SEO crescere grazie alla passione e alla dedizione della coltura biodinamica; perchè il biologico è fin troppo artificiale.
Realizzo siti internet a tempo pieno, nei restanti momenti mi occupo di redigere articoli per questo sito e saltuariamente far esperimento nel mare che è internet.

Lascia un commento

Annulla risposta

Commenti

Rispondi 08-09-2016 05:38

Virginia

Grazie per l'articolo! Mi sta succedendo una cosa strana: ieri ho rimosso tutti i tag dal mio blog, per fare un esperimento. A quel punto è partito il log dei 404. All'inizio pensavo fosse legato a questa azione, ma è evidente che non è questo il problema. Ho disinstallato "404 to 301". E installato redirection. Ma sto continuando a ricevere le mail di 404 to 301 (da notare che avevo anche deflaggato l'opzione mail per ogni log). Hai suggerimenti su come devo procedere? Grazie!!!

Rispondi 08-09-2016 09:42

Pino

Ciao Virginia, di mio non ho mai usato "404 to 301", per cui non son sicuro di sapere come aiutarti in quanto non conosco l'azione del "log dei 404" del plugin nel dettaglio. Immagino, da quel che hai detto, che sia la possibilità di poter monitorare gli errori 404 del tuo sito direttamente sulla casella di posta. Ma veniamo al tuo problema. Eliminando i tag chiaramente avrai un sacco di pagine che prima esistevano ed a seguito della tua azione sono sparite, per cui aumenteranno sicuramente il numero degli errori 404. Il plugin 404 to 301 se era attivo quando hai fatto questa operazione avrà notato i cambiamenti e ti avrà incominciato a inviare email con gli errori, per cui non capisco perchè dici "A quel punto è partito il log dei 404. All'inizio pensavo fosse legato a questa azione, ma è evidente che non è questo il problema.". Penso però che il problema si possa scomporre in due. Il primo è l'aumento degli errori 404 a causa delle pagine tag mancanti. Controlla i log inviati da 404 to 301 e vedi se si riferiscono a queste pagine mancanti. In quel caso è giusto che ti segnali il problema e che sia aumentato il numero dei log e in effetti dovrai fare una scelta:

redirezionare questi errori a pagine contenuto simili, nel caso ti sembri che l'utenza debba arrivare ad una pagina pertinente
lasciare che rimandino a una pagina 404 se ti sembra che il tuo sito non offra contenuto consono

Per effettuare dei redirect non so come funzioni il plugin redirection per cui non ti posso aiutare nel dettaglio. Di mio analizzo gli errori 404 mediante Tool (tipo Screaming Frog o Visual SEO studio) oppure grazie alla Google Search Console e inoltro gli url mancanti mediante regole scritte da me nel file .htaccess Il secondo problema mi sembra che sia dovuto al fatto che il plugin 404 to 301, pur se disinstallato (e senza che te avessi flaggato l'opzione) ti continua a mandare mail Anche questo disguido è scomponibile in singoli errori:

il fatto che ti siano state inviate email anche se non volevi (e questa è una cosa che dovrebbe risolvere lo sviluppatore facendogli conoscere il problema)
l'analisi di quali errori 404 ti vengono segnalati, se quelli memorizzati prima della disinstallazione del plugin (quindi sono stati salvati su server esterno che continua a fare analisi dei 404 memorizzati in precedenza anche se te non hai più il plugin) oppure se vengono analizzati anche i nuovi 404, quindi continua ad essere scansionato tutto il tuo sito
come bloccare queste email e questo lo puoi "risolvere" in modo sporco o meglio superare (filtrando le mail con i log inviandole direttamente nel cestino in modo che non ti disturbino) oppure segnalando la cosa allo sviluppatore e chiedendogli di smettere di inviarti email