È sicuro abilitare l’upload di file SVG in WordPress?
Al giorno d’oggi, l’utilizzo di file in formato SVG sta prendendo sempre più piede, ma ancora adesso WordPress non ne permette l’upload nella sua libreria media.
Ma come è possibile che uno dei CMS più diffusi e popolari al mondo non permetta l’utilizzo di uno dei formati di file a sua volta così diffuso e popolare?
- Leggi l'articolo, ti bastano solo 2 minuti, 30 secondi
Sei di fretta? Scarica il PDF e consultalo quando vuoi!
Sommario
Facciamo un tentativo
Provando infatti ad effettuare l’upload di questo tipo di file, ci viene restituito un errore:
Questo tipo di file non è consentito per questioni di sicurezza.
Ti starai chiedendo: “Che tipo di problemi di sicurezza può causare un file immagine?”
Comprendiamo la vulnerabilità dei file SVG
Ma i file SVG sono davvero “non sicuri”? La risposta è sì, sono estremamente insicuri!
In effetti, il formato SVG non è propriamente un formato immagine, come ad esempio JPG o PNG, ma è un formato documento, che contiene codice XML, e questo permette di scrivere al suo interno, ad esempio, codice JavaScript che il nostro browser tenterà naturalmente di eseguire.
Queste peculiarità, rendono l’upload di file SVG potenzialmente dannoso per il tuo sito web, ovviamente nel caso in cui la provenienza dei file non sia in un qualche modo certificata o riconosciuta come fonte certa.
Alcune vulnerabilità riconosciute
Le possibilità di utilizzare un file in formato SVG per scopi malevoli sono numerose, tra le più conosciute troviamo attacchi XML DoS come il famigerato Billion Laughs e le sue varianti come Quadratic Blowup.
Questi attacchi, definiti come XML bomb, possono causare la perdita di reattività del browser ed il conseguente blocco a causa della crescita esponenziale della memoria utilizzata, lasciando come unica alternativa la chiusura dello stesso.
Come difendersi?
Quanto detto finora, non vuol dire dover rinunciare all’uso di file in formato SVG.
La difesa migliore è senz’altro conoscere la provenienza dei file, magari prodotti autonomamente con i vari software di grafica che li supportano, oppure utilizzando delle librerie di controllo, come ad esempio SVG Sanitizer.
Proprio a partire da quest’ultima, è stato sviluppato un plugin per WordPress, Safe SVG, che controlla la presenza di codice malevolo all’interno dei file SVG caricati in WordPress.
Abilitare l'utilizzo dei file in formato SVG in WordPress
Dopo aver conosciuto i rischi derivanti dall’uso di SVG, qualora tu abbia intenzione di abilitarne l’upload nella libreria media di WordPress, scopri come fare:
Approfondimento
Se vuoi saperne di più sulle vulnerabilità dei file in formato SVG e del loro utilizzo in WordPress, ti consiglio di leggere la lunga discussione in merito:
Ti è piaciuto questo articolo? Regalami un click per ripagarmi dello sforzo
Hai trovato interessante l’articolo? Allora ti consiglio di leggere:
Come aumentare le vendite su Magento?
Ecco un’utilissima estensione per Magento, il CMS orientato all’e-commerce più utilizzato, che ti permetterà di far crescere il tuo business.
Scopri il nuovo WordPress 4.8
Scopri la nuova major release di WordPress, che introduce interessanti novità dal punto di vista della gestione dei contenuti, offrendo funzionalità sempre più intuitive.