Noi maniaci del controllo, irritati quando si scopre che il pacchetto EssentialPlugins di WordPress distribuisce malware a centinaia di migliaia di siti.
Il pacchetto è stato infettato lo scorso agosto e per otto mesi è rimasto silente, prima di iniziare a lavorare in forma piuttosto sofisticata.
Un non maniaco dirà eh pazienza, cosa vuoi che ti dica, non è la prima piattaforma sotto attacco e nemmeno sarà l’ultima. Lo stesso Matt Mullenweg, creatore di WordPress, ironizza: abbiamo una cattiva reputazione perché, su sessantaduemila plugin ad alta variabilità ingegneristica, uno che interessa lo zero virgola zero uno percento della base installata viene infettato e allora si titola centomila siti WordPress sotto attacco. E ha ragione: perfino dentro App Store si trova software a rischio, figuriamoci nel brodo primordiale dei plugin di WordPress.
Anche il fatto che il malware sia rimasto per otto mesi ad aspettare zitto zitto dentro il repository può dare fastidio solo a un maniaco: la pretesa che ci sia una sorveglianza sui cambiamenti di codice dei plugin, via.
É sempre maniacale l’osservazione che, una volta partito l’attacco, WordPress ha reagito immediatamente per disattivarlo, con un piccolo caveat: i siti che si sono fatti modificare certi file WordPress, anche dopo l’azione di contrasto, continuano a restare modificati e a operare di nascosto a favore dei criminali. I plugin sono bonificati, ma rispetto ai siti, chi ha avuto ha avuto. Un po’ da maniaci prendersela, no? Con tutti gli attacchi ben peggiori che hanno luogo sul web.
Però, ecco, questa cosa. Poco prima di essere contagiato, EssentialPlugins è stato venduto per un prezzo a sei cifre. Non si sa a chi.
Chi ha acquistato il plugin non sa che ha cambiato mani e non sa in che mani si trova ora. Ma neanche WordPress lo sa. É come se su App Store guardassimo la scheda di una app che abbiamo acquistato e, come nome dello sviluppatore, si leggesse boh. Al software dei plugin può succedere tutto, dalla modifica malevola del codice al cambio di proprietà a scopo fraudolento, e la supervisione da parte di WordPress è zero.
Noi maniaci, d’accordo, siamo quello che siamo; ma di fronte a questo, le persone normali non hanno proprio niente da dire?