La società finlandese Klikki ha scovato un bug nel codice di WordPress 3, versione ampiamente superata dalle release più recenti del CMS più popolare, ma che continua a mettere a rischio un gran numero di siti. L’86 per cento di blog, portali e servizi basati su WordPress risulta potenzialmente affetto dal problema, dicono gli esperti.
L’origine del problema risiede nel sistema di commenti di WordPress, commenti che potrebbero contenere codice JavaScript (JS) malevolo e che nelle impostazioni di default del CMS vengono pubblicati in automatico senza filtri o controlli imposti da parte dell’amministratore.
Il codice JS potrebbe servire a compiere ogni genere di azione pericolosa per il sito sotto attacco, inclusa la creazione di un nuovo account admin e l’eliminazione delle possibilità di accesso al backend agli admin propriamente detti.
A quel punto tutto è possibile, inclusa l’eliminazione di ogni traccia di compromissione, l’aggiunta di codice PHP malevolo attraverso gli editor interni di WordPress (o direttamente da server nel caso in cui la compromissione riguardasse anche questo) e altro ancora. Diversamente dalla versione 3, WordPress 4.0 non è affetto dal baco.
WordPress è stata di recente afflitta da altri problemi di sicurezza , e non stupisce che, a poca distanza dalla distribuzione di WordPress 4.0, Automattic abbia rilasciato una nuova versione (4.0.1) contenente patch che mettono alla porta bug che possono dare origine a attacchi XSS (Cross-Site Scripting), basati su codice HTML malformato e a collisioni di hash potenzialmente sfruttabili per compromettere gli account utente.
Alfonso Maruccia