Compromessi i sorgenti di WordPress 2.1.1

Il team di sviluppo di WordPress ha pubblicato un annuncio di sicurezza nel quale avverte che il server dove risiedono i file sorgenti di WordPress è stato compromesso e i file di WordPress versione 2.1.1 sono stati modificati per permettere l’esecuzione di codice da remoto.

Il team, avvertito da un ricercatore, è prontamente intervenuto mandando off-line il server compromesso per una analisi forense la quale ha rilevato, appunto, che solo la versione 2.1.1 della famosa piattaforma di blog è stata modificata. Lo spazio temporale di esposizione sembrerebbe essere lungo: dal 25 Febbraio al 2 Marzo.
I file modificati sono due: wp-includes/theme.php e wp-includes/feed.php.
Per sicurezza i file php all’interno di wp-includes, almeno di configurazioni partiolari, non devono essere richiamati via HTTP. Se si utilizza Apache si possono inserire le seguenti direttive all’interno della cartella wp-includes tramite un .htaccess:
<files *.php>
order allow,deny
deny from all
</files>

E’ caldamente consigliato a chiunque utilizza la versione 2.1.1 di aggiornare alla versione 2.1.2 visti anche i bugfix inseriti nella nuova release.

Tralasciando questo scivolone di WP, è bene valutare la timeline delle release. La versione 2.1 uscita il 22 Gennaio è stata sostituita, il 21 Febbraio, con la versione 2.1.1 che ha risolto circa 30 bug a sua volta, il 2 Marzo è stata rilasciata la versione 2.1.2 che ha corretto alcuni bug minori.
WordPress rappresentando una grande fetta di tutti i blog mondiali dovrebbe prendere più sul serio il test e la sicurezza del codice(si vedano le vulnerabilità scoperte dall’inizio del 2007).

 

Nessun Commento.. Puoi essere il primo!

Lascia un Commento