Falla 0-day in WordPress, qualche riflessione in merito

Falla 0-day in WordPress, qualche riflessione in merito

L’ultimo bug scoperto di WP, che permetteva di eseguire codice arbitrario in un qualsiasi sito non aggiornato mediante un semplice commento manipolato ad arte, è stato un autentico fulmine a ciel sereno: fino ad allora, infatti, i bug di sicurezza riguardavano più che altro plugin e theme crackati. Molti blog di sicurezza hanno discusso il problema, che riguardava questa volta non solo chi avesse installato un certo plugin ma tutti i siti WordPress al mondo (almeno in corrispondenza della maggioranza di MySQL utilizzati). Una falla così pesante all’interno del core, un cosiddetto 0-day per uno dei blog più utilizzati al mondo, peraltro in corrispondenza di un ulteriore bug su alcune funzioni interne di cui si sono accorti solo adesso, non si vedeva da molto tempo, tanto da far sospettare che la sua sicurezza lasci veramente tanto a desiderare: potrebbe quindi sorgere il dubbio che non sia sicuro fare uso di WP per il proprio sito. In realtà WordPress è sicuro nella misura in cui viene aggiornato in tempo reale: più tempo passa senza aggiornamenti, in genere, più alto è il rischio di trovarsi con il sito defacciato o con problemi sul suo funzionamento.

La cosa preoccupante della falla che è stata corretta qualche ora dopo la segnalazione, che è avvenuta mediante public disclosure (quindi è stata messa in pubblico all’istante), e permetteva un attacco informatico di tipo XSS a qualsiasi sito web che avesse i commenti del CMS abilitati: in altri termini, bastava inserire un commento particolare di dimensioni superiori a 64K perchè un errore di troncamento del formato da parte del DBMS MySQL portasse ad eseguire il codice inserito dall’attaccante. Jouko Pynnönen, il ricercatore che ha scoperto questa falla clamorosa – peraltro poco dopo l’uscita di una nuova versione di WordPress, ha costretto gli sviluppatori a risolverla subito, ed a rilasciare una versione corretta del CMS qualche ora dopo. La lecita preoccupazione di un webmaster per i dati del proprio sito, a questo punto, non dovrebbe prendere il sopravvento: anche se la soluzione più drastica era certamente quella di disabilitare i commenti di WP, era possibile mitigarne l’effetto utilizzando plugin antispam come Askimet.

È un dato di fatto che i problemi di sicurezza informatica (e la loro gestione) non riguardino certo soltanto WordPress, dato che interessano a livello globale il mondo dell’IT, in particolare per quello che riguarda i servizi cloud: la segnalazione di problemi del genere non dovrebbe preoccupare più di tanto, perchè in fondo si tratta di piccoli passi che tendono a rendere il sistema, mese dopo mese, sempre più sicuro. Questi update, in molti casi, avvengono praticamente in tempo reale per cui è fortemente consigliato di attivare gli aggiornamenti di sicurezza in automatico, cosa che fa di default qualsiasi installazione di WP.

Photo by Dev.Arka

Ti piace questo articolo?

0 voti

Su Trovalost.it puntiamo sulla qualità dei contenuti da quando siamo nati: la tua sincera valutazione può aiutarci a migliorare ogni giorno.

Ti potrebbero interessare (Sicurezza informatica):

Cerca altro nel sito

Clicca sul box, e scegli la sezione per vederne i contenuti.