Falla 0-day in WordPress, qualche riflessione in merito


L’ultimo bug scoperto di WP, che permetteva di eseguire codice arbitrario in un qualsiasi sito non aggiornato mediante un semplice commento manipolato ad arte, è stato un autentico fulmine a ciel sereno: fino ad allora, infatti, i bug di sicurezza riguardavano più che altro plugin e theme crackati. Molti blog di sicurezza hanno discusso il problema, che riguardava questa volta non solo chi avesse installato un certo plugin ma tutti i siti WordPress al mondo (almeno in corrispondenza della maggioranza di MySQL utilizzati). Una falla cosଠpesante all’interno del core, un cosiddetto 0-day per uno dei blog più utilizzati al mondo, peraltro in corrispondenza di un ulteriore bug su alcune funzioni interne di cui si sono accorti solo adesso, non si vedeva da molto tempo, tanto da far sospettare che la sua sicurezza lasci veramente tanto a desiderare: potrebbe quindi sorgere il dubbio che non sia sicuro fare uso di WP per il proprio sito. In realtà  WordPress è sicuro nella misura in cui viene aggiornato in tempo reale: più tempo passa senza aggiornamenti, in genere, più alto è il rischio di trovarsi con il sito defacciato o con problemi sul suo funzionamento.

La cosa preoccupante della falla che è stata corretta qualche ora dopo la segnalazione, che è avvenuta mediante public disclosure (quindi è stata messa in pubblico all’istante), e permetteva un attacco informatico di tipo XSS a qualsiasi sito web che avesse i commenti del CMS abilitati: in altri termini, bastava inserire un commento particolare di dimensioni superiori a 64K perchè un errore di troncamento del formato da parte del DBMS MySQL portasse ad eseguire il codice inserito dall’attaccante. Jouko Pynnà¶nen, il ricercatore che ha scoperto questa falla clamorosa – peraltro poco dopo l’uscita di una nuova versione di WordPress, ha costretto gli sviluppatori a risolverla subito, ed a rilasciare una versione corretta del CMS qualche ora dopo. La lecita preoccupazione di un webmaster per i dati del proprio sito, a questo punto, non dovrebbe prendere il sopravvento: anche se la soluzione più drastica era certamente quella di disabilitare i commenti di WP, era possibile mitigarne l’effetto utilizzando plugin antispam come Askimet.

àˆ un dato di fatto che i problemi di sicurezza informatica (e la loro gestione) non riguardino certo soltanto WordPress, dato che interessano a livello globale il mondo dell’IT, in particolare per quello che riguarda i servizi cloud: la segnalazione di problemi del genere non dovrebbe preoccupare più di tanto, perchè in fondo si tratta di piccoli passi che tendono a rendere il sistema, mese dopo mese, sempre più sicuro. Questi update, in molti casi, avvengono praticamente in tempo reale per cui è fortemente consigliato di attivare gli aggiornamenti di sicurezza in automatico, cosa che fa di default qualsiasi installazione di WP.

Pubblicità – Continua a leggere sotto :-)
Cerchi alternative a Google Adsense per il tuo sito? Prova TheMoneytizer!
Usa il codice 189ed7ca010140fc2065b06e3802bcd5 per ricevere 5 € dopo l’iscrizione

Sei un webmaster? Prova TheMoneytizer per il tuo sito

Photo by Dev.Arka

Pubblicità – Continua a leggere sotto :-)
Sei un webmaster? Prova TheMoneytizer per il tuo sito
Cerchi alternative a Google Adsense per il tuo sito? Prova TheMoneytizer!
Usa il codice 189ed7ca010140fc2065b06e3802bcd5 per ricevere 5 € dopo l’iscrizione

👇 Da non perdere 👇



Trovalost esiste da 4636 giorni (13 anni), e contiene ad oggi 4348 articoli (circa 3.478.400 parole in tutto) e 22 servizi online gratuiti. – Leggi un altro articolo a caso
Numero di visualizzazioni (dal 21 agosto 2024): 0
Pubblicità – Continua a leggere sotto :-)
Segui il canale ufficiale Telegram @trovalost https://t.me/trovalost
Seguici su Telegram: @trovalost
Privacy e termini di servizio / Cookie - Il nostro network è composto da Lipercubo , Pagare.online e Trovalost
Seguici su Telegram, ne vale la pena ❤️ ➡ @trovalost
Questo sito contribuisce alla audience di sè stesso.