Sicurezza per WordPress 2.5

E’ da poco uscita la nuova versione di wordpress ma a quanto pare già ci sono evidenti problemi di sicurezza, daltronde si sa che i cms non sono mai esenti da bugs o falle che magari in un primo test non sono evidenti ma lo diventano non appena il prodotto viene distribuito e testato da una grande community. Infatti per quanto gli sviluppatori si sforzino di tappare tutti i buchi possibili solo i test di migliaia di utenti permettono di riportare a galla le vulnerabilità più insidiose.

Come si legge nei comunicati del sito ufficiale di wordpress, sono state segnalate tre falle a carico dell’applicazione, due “critiche” ma che per loro natura possono essere difficilmente causa di problemi (una di esse è tra l’altro in odore di bufala), la terza è invece considerata di livello “medio” e in alcuni casi particolari potrebbe creare qualche grattacapo agli utilizzatori di questo blog engine.

Con il rilascio di WP 2.5 l’impostazione di questa chiave non è stato dato come “indispensabile” e pareva solo una ulteriore sicurezza, secondo il report di securitfocus invece parrebbe che senza quella si potrebbe forzare la password di admin. Non ho avuto modo di approfondire la cosa, causa mancanza di tempo, anche se mi è parso di capire che la forzatura potrebbe richiedere nel peggiore dei casi oltre un centinaio di giorni per una password di 7 caratteri ma anche solo una ventina di ore in casi fortunati. Per password più lunghe i tempi crescono. Inoltre per forzare una password di admin occorre disporre di un cookie di autenticazione per quel blog, quindi occorre essere utenti registrati. Ecco perchè il probabile bug è considerato un problema di media gravità.

Per maggiori informazioni visitare www.wordpress-it.it