Home>Recensioni>È sicuro abilitare l’upload di file SVG in WordPress?

È sicuro abilitare l’upload di file SVG in WordPress?


È sicuro abilitare l'upload di file SVG in WordPress?


Al giorno d’oggi, l’utilizzo di file in formato SVG sta prendendo sempre più piede, ma ancora adesso WordPress non ne permette l’upload nella sua libreria media.
Ma come è possibile che uno dei CMS più diffusi e popolari al mondo non permetta l’utilizzo di uno dei formati di file a sua volta così diffuso e popolare?

  • Leggi l'articolo, ti bastano solo 2 minuti, 30 secondi
    Sei di fretta? Scarica il PDF e consultalo quando vuoi!

Facciamo un tentativo

Provando infatti ad effettuare l’upload di questo tipo di file, ci viene restituito un errore:

Questo tipo di file non è consentito per questioni di sicurezza.

Ti starai chiedendo: “Che tipo di problemi di sicurezza può causare un file immagine?”


Comprendiamo la vulnerabilità dei file SVG

Ma i file SVG sono davvero “non sicuri”? La risposta è sì, sono estremamente insicuri!
In effetti, il formato SVG non è propriamente un formato immagine, come ad esempio JPG o PNG, ma è un formato documento, che contiene codice XML, e questo permette di scrivere al suo interno, ad esempio, codice JavaScript che il nostro browser tenterà naturalmente di eseguire.

Queste peculiarità, rendono l’upload di file SVG potenzialmente dannoso per il tuo sito web, ovviamente nel caso in cui la provenienza dei file non sia in un qualche modo certificata o riconosciuta come fonte certa.


Alcune vulnerabilità riconosciute

Le possibilità di utilizzare un file in formato SVG per scopi malevoli sono numerose, tra le più conosciute troviamo attacchi XML DoS come il famigerato Billion Laughs e le sue varianti come Quadratic Blowup.
Questi attacchi, definiti come XML bomb, possono causare la perdita di reattività del browser ed il conseguente blocco a causa della crescita esponenziale della memoria utilizzata, lasciando come unica alternativa la chiusura dello stesso.


Come difendersi?

Quanto detto finora, non vuol dire dover rinunciare all’uso di file in formato SVG.
La difesa migliore è senz’altro conoscere la provenienza dei file, magari prodotti autonomamente con i vari software di grafica che li supportano, oppure utilizzando delle librerie di controllo, come ad esempio SVG Sanitizer.

Proprio a partire da quest’ultima, è stato sviluppato un plugin per WordPress, Safe SVG, che controlla la presenza di codice malevolo all’interno dei file SVG caricati in WordPress.


Abilitare l'utilizzo dei file in formato SVG in WordPress

Dopo aver conosciuto i rischi derivanti dall’uso di SVG, qualora tu abbia intenzione di abilitarne l’upload nella libreria media di WordPress, scopri come fare:



Approfondimento

Se vuoi saperne di più sulle vulnerabilità dei file in formato SVG e del loro utilizzo in WordPress, ti consiglio di leggere la lunga discussione in merito:




Ti è piaciuto questo articolo? Regalami un click per ripagarmi dello sforzo



Code4Life ti è stato utile? Sostienici con una donazione!

Dona con PayPal

Hai trovato interessante l’articolo? Allora ti consiglio di leggere:

Come aumentare le vendite su Magento?

Come aumentare le vendite su Magento?


Ecco un’utilissima estensione per Magento, il CMS orientato all’e-commerce più utilizzato, che ti permetterà di far crescere il tuo business.

Scopri WordPress 4.8

Scopri il nuovo WordPress 4.8


Scopri la nuova major release di WordPress, che introduce interessanti novità dal punto di vista della gestione dei contenuti, offrendo funzionalità sempre più intuitive.

Oppure cerca tra gli articoli correlati


E tu cosa ne pensi? Condividi la tua opinione e discutiamone insieme
La tua email non sarà resa pubblico o utilizzata per inviarti spam, te lo prometto

Iscrivimi alla newsletter per ricevere news ed aggiornamenti
Utilizziamo piattaforme di terze parti per l’invio di newsletter. (Privacy Policy)
Tienimi aggiornato su questo articolo
Ricevi una email di notifica quando qualcuno scriverà un commento a questo articolo. (Privacy Policy)
Ricorda i miei dati per la prossima volta che scriverò un commento
Il tuo nome e la tua email verranno salvati in un cookie in questo browser. (Privacy Policy)