Fino ad ora avevamo parlato solo di una possibilità, ha ora la prima falla di sicurezza in WordPress 2.5 c’è veramente ed è anche di media gravità.

Il problema riguarda solo la versione 2.5 ed è stato scoperto dal blogger messicano José Carlos Anieto; la falla è stata annunciata anche su SecurityFocus con tutti i dettagli e su BlogSecurity.

La falla, in parole povere, consiste in questo: se installiamo WordPress 2.5 lasciando la variabile SECRET_KEY  in wp-config.php al suo valore di default, o utilizziamo una parola molto semplice, diamo la possibilità ad un eventuale attaccante di prendere facilmente i privilegi di amministratore tramite un cookie falso.

Il problema di sicurezza è quindi proprio nel software, ma può diventare imputabile all’utente se non inserisce una SECRET_KEY di notevole lunghezza (almeno 12 caratteri) e di valore del tutto randomico ed incomprensibile.

A questo punto ribadisco il mio pensiero: perchè spingere tutti gli utenti ad aggiornare alla versione 2.5 invece di attendere prima la nuova minor release (2.5.1?) che sarà certamente più sicura?

Articolo pubblicato il 16.04.2008 nella categoria Blogosfera e News. Puoi lasciare un commento o un trackback dal tuo blog.