Quando parliamo di WordPress stiamo parlando di quello che, di gran lunga, è il CMS più diffuso al mondo: questa piattaforma è infatti la base sulla quale vengono costruiti miliardi di siti web (il 29% dei siti nel mondo). Per questo motivo, l’allarme riguarda praticamente tutti coloro che hanno un sito web: un nuovo attacco hacker può portare a siti WordPress offline, sfruttando un DoS.
Siti WordPress offline, la vulnerabilità
Il difetto risiede in tutte le versioni di WordPress, anche le più recenti: lavora sfruttando un file, load-scripts.php, che in realtà dovrebbe migliorare le prestazioni (mentre in questo caso viene usato per peggiorarle fino al down del sito).
Ma cos’è il file load-scripts.php? Un file che serve ai webmaster per velocizzare il caricamento delle pagine di un sito attraverso la combinazione di più file Javascript in un’unica istanza.
Il problema è che, per funzionare, questo file, non richiede un’autenticazione e quindi è teoricamente accessibile a tutti, hacker compresi.
Ti sta piacendo l’articolo? Iscriviti alla newsletter di Noi Sicurezza per ricevere altri consigli interessanti sulla sicurezza! (promettiamo di non essere troppo invadenti 😉 Buona continuazione di lettura!
[wysija_form id=”1″]
Siti web down, come funziona l’attacco DoS
Un eventuale attacco è di tipo Denial of Service e ha un meccanismo tanto semplice quanto efficace: un attaccante può costringere il file load-scripts.php a richiamare tutti i file Javascript in un’unica volta (anche quelli non necessari e non richiesti) rendendo il sito molto lento, consumando molta CPU e memoria del server.
Website down dopo una serie di richieste
Naturalmente una singola attività su un solo load-scripts.php non è sufficiente a far saltare un sito, tuttavia l’autorevole Hacker News ha effettuato dei test nei quali sono stati aumentate progressivamente le richieste: dopo 500 istanze si è verificato un sovraccarico nel server che non ha più risposto.
La risposta del team di WordPress
WordPress ritiene che la questione sia da risolvere a livello di server o di rete, che quindi ciò sfugge al loro controllo.
WordPress offline: come evitarlo
Per evitare di vedersi fuori dal web anche solo per un brevissimo periodo, i consigli sono pochi ma chiari: aumentare la potenza e la memoria del server (meglio se dedicato al sito web), con l’avvertenza che contro un attacco sferrato da un hacker con molti mezzi ci sarebbe poco da fare.
La vera risposta è l’adozione di servizi di sicurezza informatica gestita, che prevedono il monitoraggio costante di esperti informatici su attività anomale nel traffico web (in questo caso dei load-scripts.php), per fermare subito le minacce di Denial of Service prima che mettano offline il nostro sito.
Interessato a proteggere il tuo sito e, più in generale, ai servizi di monitoraggio delle minacce informatiche? Chiedi maggiori informazioni.
CHIEDI INFORMAZIONI