WordPress è noto per essere uno dei CMS più popolari presenti sulla rete: non a caso rappresenta circa il 20 – 25 % di tutti i portali che sono realizzati con content management system come leggi sul sito specializzato http://www.wordcamp.it. Pochi giorni fa gli utenti hanno potuto contare sull’aggiornamento automatico della piattaforma, la versione 4.8.3 di WordPress. Il suo scopo primario era quello di implementare e migliorare aspetti di totale vulnerabilità del CMS.
Quale era la falla all’interno di WordPress?
Come viene riportato da The Whir sono diversi i passaggi che hanno portato alla realizzazione dell’importante patch. Il problema in questione è stato individuato da Anthony Ferrara, ricercatore che ha segnalato l’errore. Era il 20 settembre 2017 quando veniva presentata la versione 4.8.1 del CMS, già rilasciata il 2 Agosto. Il ricercatore ha spiegato che una particolare funzione, usata per pianificare l’esecuzione sicura di una query, poteva al contrario portare alla formazione di query non sicure, che venivano poi esposte a SQL Injection.
Grazie alla versione 4.8.2 del 19 Settembre, Automattic ha tentato di lanciare il primo tentativo di correzione, anche se è poi riuscito solo in parte. La versione 4.8.2 si sarebbe, infatti, occupata solo di una piccola parte di potenziali problemi, non andando però a risolvere la situazione. Al tempo stesso ha reso inefficaci circa un milione di linee di codice di terze parti. Le successive quattro settimane hanno portato a uno scambio frequente di messaggi tra lo stesso ricercatore e il team WordPress che si occupa di sicurezza. Tra ultimatum e rinvii, Ferrara è stato convinto ben due volte a posticipare la sua decisione di rendere pubblica la falla, fino ad attendere al rilascio dell’aggiornamento.