Pericolosa vulnerabilità per WordPress
Mercoledì 13 Maggio 2009 - 09:43
di Claudio Garau
Perishable Press ha recentemente segnalato un pericoloso bug che se sfruttato da utenti malintenzionati potrebbe compromettere seriamente un blog basato su WordPress, nonché i dati gestiti dal database utilizzato dall’applicazione per il suo normale funzionamento.
L’articolo in cui viene descritta la vulnerabilità, intitolato non a caso “Important Security Fix for WordPress“, contiene fortunatamente alcune soluzioni per evitare eventuali problemi.
La falla sfrutta il file “install.php” contenuto nella cartella “wp-admin”, esattamente lo stesso che viene utilizzato per la famosa “installazione in 5 minuti” richiesta dal blog engine per ottenere un sito basato su questo CMS; i risultati possono essere disastrosi, tanto che un eventuale utente il cui blog venga attaccato potrebbe ritrovarsi un blog completamente off-line, come se WordPress non fosse mai stato installato.
L’autore dell’articolo propone tre soluzioni per porre riparo temporaneamente al problema:
- la più drastica: cancellare definitivamente il file “install.php”;
- la più complessa: proteggere il file incriminato con un .htaccess;
- la più lunga: sostituire “install.php” con una nuova versione modificata;
Naturalmente quelli elencati (nell’articolo sono descritte nel particolare tutti le procedure), sono essenzialmente dei provvedimenti tampone, l’ideale sarebbe che fosse lo stesso team di sviluppo del Blog engine a risolvere il problema alla radice.
Commenti
1
Ma non era consigliata direttamente dal team la cancellazione del file install.php dopo aver eseguito l’installazione? non so con questo framework ma con tanti altri che uso quotidianamente tipo drupal e phpBB è una prassi comune eliminare, rinominare, o bloccare l’accesso in scrittura di un tot di file/cartelle elencate dagli stessi sviluppatori dopo l’installazione…
# - postato da Bestiaccia - 19 Maggio 2009 - 11:04