/https://www.html.it/app/uploads/2024/03/WordPress.png "WordPress 6.6.1: no, non è un Trojan")
Nelle scorse ore diversi utilizzatori di WordPress hanno segnalato un problema legato ad un falso positivo generato dal proprio antivirus. In pratica, in alcuni casi, il package della versione 6.6.1 del noto CMS Open Source sarebbe stata identificata come un Trojan o, per meglio dire, come un archivio compresso contenente un trojan. Cerchiamo quindi di capire cosa è successo e perché.
WordPress 6.6.1: il falso positivo
Come confermato da alcune testimonianze, questo comportamento sarebbe stato osservato anche da chi utilizza Windows 11 con Windows Defender. Una volta scaricato il file .zip esso sarebbe stato classificato come sospetto perché contenente il Trojan:Win32/Phish!MSR.
Why WordPress 6.6.1 Was Flagged For Trojan Malware. via @martinibuster: https://t.co/kMlsDtFzaT#seonews #WordPress #SEO
— SearchEngineJournal® (@sejournal) July 30, 2024
La stessa notifica sarebbe stata ricevuta anche aggiornando WordPress dalla dashboard dell'applicazione. A ciò si aggiunga l'impossibilità di porre il file in quarantena e una segnalazione almeno teoricamente inequivocabile:
This program is dangerous and executes commands from an attacker.
In altri casi, ad essere indicato come potenzialmente pericoloso sarebbe stato un file in particolare del package. Parliamo nello specifico del foglio di stile seguente, del quale indichiamo l'intero percorso:
\wp-includes\css\dist\block-library\style.min.cssLe cause del falso positivo
Per quanto possa sembrare strano, le ragioni di questo problema andrebbero ricercate in un URL. Tale spiegazione è stata confermata in un ticket pubblicato sulla pagina Web ufficiale del core track di WordPress.
In sostanza nel file style.min.css, cioè quello indicato come Trojan dall'antivirus, è presente un riferimento ad una risorsa esterna presente su w3.org. Quest'ultima viene indicata tramite il seguente URL:
http://www.w3.org/2000/svgCome si può notare facilmente quest'ultimo non inizia con https:// ma con http://. Tanto è bastato per allertare Defender. In sostanza, invece che come un collegamento utile a definire lo scopo SVG esso sarebbe stato interpretato come il tentativo di linkare un contenuti malevolo da scaricare. Una volta modificato l'URL con il formato corretto, style.min.css non viene più ritenuto pericoloso e la scansione antivirus non produce più il falso positivo.
/https://www.html.it/app/uploads/2024/05/WordPress.jpg)
/https://www.html.it/app/uploads/2024/04/wordpress-3.jpg)
/https://www.html.it/app/uploads/2024/02/hosting-wordpress-gestito.jpg)