Siti WordPress offline…causa vulnerabilità piattaforma!

siti WordPress Offline
Condividi:

Quando parliamo di WordPress stiamo parlando di quello che, di gran lunga, è il CMS più diffuso al mondo: questa piattaforma è infatti la base sulla quale vengono costruiti miliardi di siti web (il 29% dei siti nel mondo). Per questo motivo, l’allarme riguarda praticamente tutti coloro che hanno un sito web: un nuovo attacco hacker può portare a siti WordPress offline, sfruttando un DoS.

Siti WordPress offline, la vulnerabilità

Il difetto risiede in tutte le versioni di WordPress, anche le più recenti: lavora sfruttando un file, load-scripts.php, che in realtà dovrebbe migliorare le prestazioni (mentre in questo caso viene usato per peggiorarle fino al down del sito).

Ma cos’è il file load-scripts.php? Un file che serve ai webmaster per velocizzare il caricamento delle pagine di un sito attraverso la combinazione di più file Javascript in un’unica istanza.

Il problema è che, per funzionare, questo file, non richiede un’autenticazione e quindi è teoricamente accessibile a tutti, hacker compresi.

Ti sta piacendo l’articolo? Iscriviti alla newsletter di Noi Sicurezza per ricevere altri consigli interessanti sulla sicurezza! (promettiamo di non essere troppo invadenti 😉 Buona continuazione di lettura!

[wysija_form id=”1″]

Siti web down, come funziona l’attacco DoS

Un eventuale attacco è di tipo Denial of Service e ha un meccanismo tanto semplice quanto efficace: un attaccante può costringere il file load-scripts.php a richiamare tutti i file Javascript in un’unica volta (anche quelli non necessari e non richiesti) rendendo il sito molto lento, consumando molta CPU e memoria del server.

Website down dopo una serie di richieste

Naturalmente una singola attività su un solo load-scripts.php non è sufficiente a far saltare un sito, tuttavia l’autorevole Hacker News ha effettuato dei test nei quali sono stati aumentate progressivamente le richieste: dopo 500 istanze si è verificato un sovraccarico nel server che non ha più risposto.

La risposta del team di WordPress

WordPress ritiene che la questione sia da risolvere a livello di server o di rete, che quindi ciò sfugge al loro controllo.

WordPress offline: come evitarlo

Per evitare di vedersi fuori dal web anche solo per un brevissimo periodo, i consigli sono pochi ma chiari: aumentare la potenza e la memoria del server (meglio se dedicato al sito web), con l’avvertenza che contro un attacco sferrato da un hacker con molti mezzi ci sarebbe poco da fare.

La vera risposta è l’adozione di servizi di sicurezza informatica gestita, che prevedono il monitoraggio costante di esperti informatici su attività anomale nel traffico web (in questo caso dei load-scripts.php), per fermare subito le minacce di Denial of Service prima che mettano offline il nostro sito.

Interessato a proteggere il tuo sito e, più in generale, ai servizi di monitoraggio delle minacce informatiche? Chiedi maggiori informazioni.

CHIEDI INFORMAZIONI
Condividi:

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

Noi e terze parti selezionate utilizziamo cookie o tecnologie simili per finalità tecniche e, con il tuo consenso, anche per altre finalità come specificato nella cookie policy. Il rifiuto del consenso può rendere non disponibili le relative funzioni. Usa il pulsante “Accetto” per acconsentire all'utilizzo di tali tecnologie, in alternativa esci dal sito senza accettare. maggiori informazioni

Questo sito utilizza i cookie per fornire la migliore esperienza di navigazione possibile. Continuando a utilizzare questo sito senza modificare le impostazioni dei cookie o cliccando su "Accetta" permetti il loro utilizzo.

Chiudi