Problemi di sicurezza per WordPress: vulnerabilità XSS

Posted 1 CommentPosted in PENSIERI SPARSI

Il 29/12/2010 mentre me ne stavo tranquillamente in ufficio, il mio blog  è stato defacciato e la home page è stata sostituita con un reindirizzamento ad un sito contenente immagini porno. Non è la prima volta che avviene, e quando succede è una gran rottura di balle, perchè bisogna ripristinare alcuni file del sistema e rivedere tutti i folder nei quali sono stati caricati file.

Per chi non lo sapesse il termine Defacing, nell’ambito della sicurezza informatica, viene utilizzato per definire il cambiamento illecito della home page di un sito web (la sua “faccia”) e la modifica di una o più pagine interne. Questa pratica è condotta da persone non autorizzate (detti cracker, non hacker) e all’insaputa di chi gestisce il sito. E’ illegale in tutti i paesi del mondo.

Le motivazioni di tale atto vandalico possono essere di vario tipo, dalla dimostrazione di abilità fino a ragioni ideologiche e politiche. Le tecniche utilizzate per ottenere i permessi di accesso in scrittura al sito sfruttano solitamente i bug presenti nel software di gestione del sito oppure nei sistemi operativi sottostanti: nel mio caso, questa volta, credo che il daface sia stato effettuato tramite un bug di WordPress.

Casualmente mentre ero li che aggiornavo e ripristinavo il mio blog, ecco che mi arriva una mail del simpatico Matt Mullenweg, che dopo aver comunicato la presenza di un aggiornamento critico, mi augura Merry WordPressing in 2011!

First off, happy holidays. 🙂 I hope this time of the year, chilly for many of you, has given you time to enjoy family, friends, and loved ones and reflect on the year before and the year to come.

My last message to you this year is an important but unfortunate one: we’ve fixed a pretty critical vulnerability in WordPress’ core HTML sanitation library, and because this library is used lots of places it’s important that everyone update as soon as possible. I realize an update during the holidays is no fun, but this one is worth putting down the eggnog for. In the spirit of the holidays, consider helping your friends as well. You can update in your dashboard, on the “updates” tab, or download the latest WordPress here: http://wordpress.org/download/

The official release announcement is here: http://wp.me/pZhYe-qt

Merry WordPressing in 2011

Matt Mullenweg
http://ma.tt | http://wordpress.org | http://automattic.com

Cliccando sul comunicato ufficiale, si parla proprio di vulnerabilità XSS:

3.0.4 Important Security Update

Posted December 29, 2010 by Matt Mullenweg. Filed under Releases,Security.

Version 3.0.4 of WordPress, available immediately through the update page in your dashboard or for download here, is a very important update to apply to your sites as soon as possible because it fixes a core security bug in our HTML sanitation library, called KSES. I would rate this release as “critical.”

I realize an update during the holidays is no fun, but this one is worth putting down the eggnog for. In the spirit of the holidays, consider helping your friends as well.

If you are a security researcher, we’d appreciate you taking a look over this changeset as well to review our update. We’ve given it a lot of thought and review but since this is so core we want as many brains on it as possible. Thanks to Mauro Gentile and Jon Cave (duck_) who discovered and alerted us to these XSS vulnerabilities first.

Apperò, Matt classifica questa release Critical e ce lo dice sorridendo: peccato che su una vulnerabilità XSS (anche detta di Cross Site Scripting) non c’è una fava da ridere!

Insomma, alla fine grazie a questo “buchetto” ho passato 2 ore serali a ripristinare il blog, un pò di autorizzazioni e soprattutto dopo aver aggiornato WordPress alla versione 3.0.4 .

[Provocazione ON]

Beh questo è secondo me il brutto dei prodotti Open Source: con chi te la prendi in caso di danni generati da una falla di questo tipo?

[Provacazione OFF]

PS: ovviamente faccio riferimento a tutti i blog / siti che utilizzano wordpress come piattaforma su hosting privati e non su WordPress.com

Usiamo internet in modo responsabile, libero e sicuro.

Posted Leave a commentPosted in PENSIERI SPARSI

Parte questa settimana la seconda edizione (2009) della settimana della Sicurezza in Rete, la campagna nazionale di sensibilizzazione per la protezione e la sicurezza online che si propone di aiutare gli utenti della Rete anche mediante la diffusione di risorse certificate.

Credo sia un ottima iniziativa e una buona dimostrazione di come le aziende del settore (social network e non), se vogliono, possano essere portatrici di informazioni comprensibili, utili e concrete, facendo anche da moderatore su quelle notizie che generano allarmismo e terrorismo psicologico pubblicate da “non addetti ai lavori” e politicanti che, purtroppo, in Italia sono sempre più frequenti.

In questi giorni ho pubblicato un articolo relativo alla protezione della propria Privacy in Facebook, che vi invito a leggere se siete “nuovi” nei Social Network o comunque se non avete mai messo mano alle impostazioni di sicurezza di Facebook. Non è una guida tecnica, ne tanto meno un manuale delle inefficienze del social network, ma una breve guida composta da 9 semplici  punti di  configurazione.

Ci pensate come sarebbe bello sapere di poter navigare senza problemi, senza incappare in qualche truffa, in video non graditi, e senza la preoccupazione di subire un furto d’identità?

Io amo internet e sono a favore di un uso responsabile, libero e sicuro della rete.