Problema di sicurezza per Wordpress.org

Matt Mullenweg ha notificato sul blog di WordPress.org la necessità di azzerare le password degli utenti sul servizio. La procedura sarà forzata per l’accesso a forum, plugin e temi, costringendo così l’intera community a garantire massima sicurezza al proprio account.

Tale procedura deriva dalla scoperta di un problema di sicurezza del quale non sono stati diramati che alcuni dettagli. In particolare è emersa la presenza di speciali backdoor all’interno di plugin molto popolari quali AddThis, WPtouch e W3 Total Cache: le backdoor non sono state immesse dolosamente dai rispettivi sviluppatori, ma sono piuttosto l’opera truffaldina di terzi che sono riusciti ad avere accesso alla repository modificando i file originali.

Mullenweg consiglia a tutti gli utenti che hanno installato o aggiornato i tre plugin nelle ultime ore di verificare l’eventuale disponibilità di ulteriori aggiornamenti: in questo caso è necessario provvedere ad un ulteriore update che, riportando la situazione alla normalità, va a cancellare i plugin truffaldini installati.

In linea generale il gruppo consiglia di non modificare la password inserendo nuovamente quella antecedente e, soprattutto, di non utilizzare le stesse password per più servizi poiché il rischio è quello per cui una singola fuga di dati possa tramutarsi in una moltitudine di pericoli a vasto raggio.

L’attacco sembra essere stato fin da subito confinato poiché la scoperta immediata delle backdoor ha consentito verifiche immediate sulla repository. Mentre il team WordPress.org verifica che i codici inquinati non si siano estesi ad altri plugin, gli utenti debbono aggiornare le proprie installazioni per garantire piena sicurezza alle proprie pagine ed alle proprie password, evitando di consegnare i propri siti Web nelle mani dei cracker.