Siti WordPress offline…causa vulnerabilità piattaforma!

Condividi:

Quando parliamo di WordPress stiamo parlando di quello che, di gran lunga, è il CMS più diffuso al mondo: questa piattaforma è infatti la base sulla quale vengono costruiti miliardi di siti web (il 29% dei siti nel mondo). Per questo motivo, l’allarme riguarda praticamente tutti coloro che hanno un sito web: un nuovo attacco hacker può portare a siti WordPress offline, sfruttando un DoS.

Siti WordPress offline, la vulnerabilità

Il difetto risiede in tutte le versioni di WordPress, anche le più recenti: lavora sfruttando un file, load-scripts.php, che in realtà dovrebbe migliorare le prestazioni (mentre in questo caso viene usato per peggiorarle fino al down del sito).

Ma cos’è il file load-scripts.php? Un file che serve ai webmaster per velocizzare il caricamento delle pagine di un sito attraverso la combinazione di più file Javascript in un’unica istanza.

Il problema è che, per funzionare, questo file, non richiede un’autenticazione e quindi è teoricamente accessibile a tutti, hacker compresi.

Ti sta piacendo l’articolo? Iscriviti alla newsletter di Noi Sicurezza per ricevere altri consigli interessanti sulla sicurezza! (promettiamo di non essere troppo invadenti 😉 Buona continuazione di lettura!

Siti web down, come funziona l’attacco DoS

Un eventuale attacco è di tipo Denial of Service e ha un meccanismo tanto semplice quanto efficace: un attaccante può costringere il file load-scripts.php a richiamare tutti i file Javascript in un’unica volta (anche quelli non necessari e non richiesti) rendendo il sito molto lento, consumando molta CPU e memoria del server.

Website down dopo una serie di richieste

Naturalmente una singola attività su un solo load-scripts.php non è sufficiente a far saltare un sito, tuttavia l’autorevole Hacker News ha effettuato dei test nei quali sono stati aumentate progressivamente le richieste: dopo 500 istanze si è verificato un sovraccarico nel server che non ha più risposto.

La risposta del team di WordPress

WordPress ritiene che la questione sia da risolvere a livello di server o di rete, che quindi ciò sfugge al loro controllo.

WordPress offline: come evitarlo

Per evitare di vedersi fuori dal web anche solo per un brevissimo periodo, i consigli sono pochi ma chiari: aumentare la potenza e la memoria del server (meglio se dedicato al sito web), con l’avvertenza che contro un attacco sferrato da un hacker con molti mezzi ci sarebbe poco da fare.

La vera risposta è l’adozione di servizi di sicurezza informatica gestita, che prevedono il monitoraggio costante di esperti informatici su attività anomale nel traffico web (in questo caso dei load-scripts.php), per fermare subito le minacce di Denial of Service prima che mettano offline il nostro sito.

Interessato a proteggere il tuo sito e, più in generale, ai servizi di monitoraggio delle minacce informatiche? Chiedi maggiori informazioni.

CHIEDI INFORMAZIONI
Condividi:

Seguici, non perdere nessun articolo!

Articoli recenti

Archivi

Categorie

Piervittorio Allevi Written by:

Be First to Comment

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *