
Il plugin 404 to 301 per piattaforma Wordpress ha una seria vulnerabilità riscontrata fino alla versione 2.2.9, che permette una iniezione di link spam mascherati, dedicati per i motori di ricerca.
Riscontrata una vulnerabilità a causa di link cloacking e spam per la plugin #Wordpress 404 to 301 Condividi il Tweet
Ne ha dato notizia Wordfence in un suo articolo di una settimana fa e lo sviluppatore dell'estensione per WP è corso ai ripari aggiornando la plugin e rimuovendo il baco di sicurezza.
Cos'è il plugin 404 to 301 per Wordpress
Questo software, installato su oltre 70000 siti web realizzati in Wordpress, permette di:
- Reindirizzare tutti gli errori 404 a una pagina esistente o a un URL personalizzato;
- Monitorare tutti gli errori, senza aprire Google Search Console, direttamente dalla dashboard di WP o nel caso mediante delle notifiche email;
- Scegliere il metodo con cui effettuare il redirect: permanente (301), temporaneo (302) o 307 (redirect temporaneo);
Perchè questo plugin è importante per la SEO
Come ho spiegato in altri articoli è opportuno, per la SEO on-page, evitare che alcuni URL, non più esistenti o modificati, generino un errore 404 (contenuto mancante) perché:
- una pagina non più esistente infastidisce i visitatori, che rimangono frustati quando non trovano il contenuto;
- peggiorano la SEO globale in quanto il motore di ricerca, se non viene rediretto in maniera corretta, elimina il contenuto dalla SERP;
Nel caso di reindirizzamento effettuato in maniera corretta, lo spider del motore di ricerca, a seguito di nuova scansione sposta il puntamento dello snippet relativo al risultato, al nuovo URL.
La vulnerabilità delle versioni obsolete di 404 to 301
Il plugin 404 to 301, ad una versione non aggiornata, effettua una iniezione di link a pagamento che sono visibili solo per i motori di ricerca e non all'utenza (cloacking).
Per poter visualizzare questi link è necessario cambiare il proprio user-agent (utilizzando ad esempio quello di Google) o effettuare una analisi mediante il tool di sicurezza di Google Search Console.
I siti che utilizzano questo plugin, ad una versione inferiore alla 2.2.9, rischiano perciò una penalizzazione manuale da parte di Google per utilizzo di link cloacking (scomparendo dalla SERP fino alla risoluzione del problema) o nelle migliore delle ipotesi un avviso di sito dannoso e la conseguente azione manuale.
WordFence ha identificato il problema a seguito della segnalazione di un utente, che lamentava di avere il sito compromesso con link nascosti all'utenza e che inviavano a contenuti diversi, e dopo aver identificato l'attacco a causa di script terzi nel plugin 404 to 301 ha pubblicato un articolo in cui spiegava la vulnerabilità, senza però avvertire l'autore del software.
Nel frattempo però a Joel James, l'autore che ha realizzato questo plugin, sono arrivate una moltitudine di recensioni negative per il suo plugin, a causa di questa falla di sicurezza. Joel ha provveduto il prima possibile a fissare il problema e a rilasciare un aggiornamento, ma sui Social e sulla directory di Wordpress sono comparsi molti commenti negativi.
In un post sul suo blog l'autore ha poi spiegato il problema, che a quanto pare è nato a seguito di una partnership con un altro sviluppatore, in cambio dei dati di utilizzo del plugin (numero di visitatori, user-agent e IP). Joel, per poter tracciare l'utenza aveva così inserito degli script risiedenti sul server di questo sviluppatore, che una volta compromessi hanno inserito questi link cloacking e spammosi nei siti dell'utenza che aveva installato il plugin.
Nel dettaglio Joel James ha poi frainteso le linee guida di Wordpress, non richiedendo il consenso all'utenza che utilizzava il suo plugin, all'invio dei dati a terzi.
Come rimuovere il problema nel plugin 404 to 301
Per risolvere questo problema è sufficiente aggiornare il plugin alla versione 2.3.0 o nel caso rimuovere il software e procedere diversamente al redirect degli errori 404 mediante una analisi degli errori presenti nel pannello di Google Search Console e a delle regole dedicate nel file .htaccess.
In alternativa è possibile utilizzare la versione PRO di Yoast SEO, che permette una funzionalità simile a quella di 404 to 301, dopo aver agganciato la plugin a Search Console.
pino
Nato con la passione per l'informatica da mamma Access e papà ASP nel 2002 rinnego repentinamente la mia paternità facendomi adottare da papà PHP e mamma SQL.
Allevo HTML e correlati fiori in CSS mentre vedo i frutti del mio orticello SEO crescere grazie alla passione e alla dedizione della coltura biodinamica; perchè il biologico è fin troppo artificiale.
Realizzo siti internet a tempo pieno, nei restanti momenti mi occupo di redigere articoli per questo sito e saltuariamente far esperimento nel mare che è internet.