WordPress, accesso libero con un cookie

Mai effettuare l’accesso al proprio blog WordPress, utilizzando una connessione WiFi pubblica. È questo il consiglio migliore per evitare di subire un hijacking da parte di qualche malintenzionato. Un tecnico di Electronic Frontier Foundation, Yan Zhu, ha scoperto che i server WordPress inviano un cookie in chiaro, quanto l’utente effettua il login. Se il cookie viene intercettato è possibile diventare il “padrone” del blog e compiere qualsiasi operazione.

Quando viene effettuato l’accesso ad un blog ospitato sui server di WordPress, inserendo username e password, il browser dell’utente riceve un cookie in chiaro con il tag “wordpress_logged_in“, che invece dovrebbe essere cifrato. Ciò permette di copiare il testo, di incollarlo in un nuovo profilo del browser e di entrare nel blog, senza digitare le credenziali di login. L’exploit funziona anche se è stata attivata l’autenticazione a due fattori. Un malintenzionato che riesce ad intercettare il cookie può pubblicare post e commenti, leggere i messaggi e le statistiche, modificare le impostazioni degli utenti.

È possibile anche cambiare l’indirizzo email dell’account e impostare l’autenticazione a due fattori, impedendo quindi l’accesso al legittimo proprietario. Il cookie inviato dal server rimane attivo per tre anni. L’attuale versione di WordPress non ha una funzione che permette di invalidare la sessione al logout e quindi cancellare il cookie. La password non può essere cambiata, in quanto viene usato un cookie criptato con tag “wordpress_sec“.

Andrew Nacin, sviluppatore capo di WordPress, ha comunicato che il problema verrà risolto con la prossima release. Nel frattempo, meglio evitare di aggiornare il proprio blog sfruttando connessioni pubbliche non sicure.