Ho letto solo stamattina del fattaccio successo la scorsa settimana sui server di Network Solutions, uno dei più famosi hosting provider qui in America, e suppongo a livello internazionale. Pare che alcuni malintenzionati abbiano scoperto una falla di sicurezza nel loro sistema di virtual hosting, sfruttandola per infilare codice “malevolo” all’interno delle pagine dei malcapitati. Da quanto si apprende era possibile per un utente accedere ai file nelle cartelle dei suoi “vicini di casa” e ficcare il naso alla ricerca di password. Ora, WordPress è un programma molto usato (quelli di NS hanno, come Tophost, un pacchetto apposito con questa piattaforma preinstallata) e quindi è ovvio che un malintenzionato cerca di appoggiarsi a questo sistema di gestione per fare le sue porcherie: la probabilità di infettare tanti siti aumenta.
Ed allora i “furbi” di Network Solutions, invece di mettersi in ginocchio sui ceci ammettendo di aver mal configurato i propri server, che fanno? Puntano il dito contro la scarsa sicurezza di WordPress. Sparando una cavolata grossa quanto la loro arroganza: le password di accesso al database sono memorizzate in chiaro. Ma questi indiani intelligentoni hanno la più pallida idea di come funziona un qualsiasi programma scritto in PHP che ha bisogno d’accedere al database? Non serve, come poi ha voluto precisare Matt Mullenweg in persona, criptare quei dati, perché tanto la chiave di codifica a sua volta dovrà essere memorizzata in chiaro da qualche parte, ed accessibile al server web.
La figuraccia finale? L’hanno fatta questi clown che fanno pagare 10 dollari al mese per un servizio scadente. Ho provato, per curiosità, a vedere se i server di Tophost soffrissero della stessa vulnerabilità, ed ovviamente non ero sorpreso affatto quando ho visto che il problema, in questo “condominio virtuale” non esiste 🙂 Come dici? Come faccio a sapere chi sono i miei coinquilini? Beh, con uno dei tanti servizi che dall’indirizzo IP trovano i siti associati 🙂 E qui pago un dodicesimo che su Network Solutions ed ho molti servizi che quegli altri non offrono. Tiè.
Commenti
Più che altro penso che la colpa, in questi casi, è di chi non tiene le proprie installazioni (di WP o di qualunque altro CMS) aggiornate all’ultima versione.
@Napolux: si, sono d’accordo con te che è bene tenersi aggiornati. Ma qui la versione di WordPress non c’entrava molto, l’attacco ha funzionato sia per chi aveva l’ultima release che una vecchia. E ripeto, hanno preso di mira WordPress solo perché è molto popolare, non perché c’era un baco nel programma.
Il bello è che WP oltre a storare ovviamente le pass in md5 utilizza di versione in versione sempre più chiavi di sicurezza. Con la beta 3 se non sbaglio siamo arrivati a 6 chiavi diverse, con un set di caratteri veramente assurdo (maiuscole minuscole numeri e caratteri speciali da un fantastilione di caratteri).
Quanto vi invidio, io non riesco neppure a mettere il codice di adsense per la pubblicità sul mio blog.
AIUTO!!!!!!
@Silvana: sono certo che ci sono 1000 cose che non so fare per cui io potrei invidiare te 🙂
Baggianate galattiche. Non sta ne in cielo ne in terra che un Utonto con uno spazio Web (Di qualunque natura sia) mal configurato faccia da ponte per lo scatafascio di una intera farm. Altro che ginocchia sui ceci .. sulle puntine da disegno ! 🙂
Camu, sei troppo buono 😉
@lurebu: vabbè, anche gli indiani (emigrati in america) sbagliano 🙂