Perishable Press ha recentemente segnalato un pericoloso bug che se sfruttato da utenti malintenzionati potrebbe compromettere seriamente un blog basato su WordPress, nonché i dati gestiti dal database utilizzato dall'applicazione per il suo normale funzionamento.
L'articolo in cui viene descritta la vulnerabilità , intitolato non a caso "Important Security Fix for WordPress", contiene fortunatamente alcune soluzioni per evitare eventuali problemi.
La falla sfrutta il file "install.php" contenuto nella cartella "wp-admin", esattamente lo stesso che viene utilizzato per la famosa "installazione in 5 minuti" richiesta dal blog engine per ottenere un sito basato su questo CMS; i risultati possono essere disastrosi, tanto che un eventuale utente il cui blog venga attaccato potrebbe ritrovarsi un blog completamente off-line, come se WordPress non fosse mai stato installato.
L'autore dell'articolo propone tre soluzioni per porre riparo temporaneamente al problema:
- la più drastica: cancellare definitivamente il file "install.php";
- la più complessa: proteggere il file incriminato con un .htaccess;
- la più lunga: sostituire "install.php" con una nuova versione modificata;
Naturalmente quelli elencati (nell'articolo sono descritte nel particolare tutti le procedure), sono essenzialmente dei provvedimenti tampone, l'ideale sarebbe che fosse lo stesso team di sviluppo del Blog engine a risolvere il problema alla radice.
