Aggiornamento di Sicurezza per la piattaforma Wordpress

Come osservato nell'articolo CMS - Content Management System. Nel Web 2.0 il contenuto puo' essere creato da tutti, pubblicato su questo blog nel corso del 2010, le piattaforme generaliste ed open source costituiscono una possibilità di scelta nel panorama delle offerte di software per lo sviluppo di siti web, portali ed in generale tutti quegli spazi web che devono poter essere gestiti in maniera snella e dinamica, al fine di consentire all'utente di intervenire in merito al contenuto a prescindere dalla base tecnologica adottata.

Tra i punti osservati durante quel precedente articolo, veniva evidenziato, tra gli altri, come un limite importante di questa tipologia di ambienti generalisti ed open source, fosse costituita dall'impossibilità di controllo diretto sull'evoluzione e sullo sviluppo, in quanto tutto il progetto è in mano ad un pool di sviluppatori slegato e senza dirette responsabilità su eventuali bug e contraddizioni sul codice.
Proprio per queste ragioni si verificano frequentemente incoerenze che sfociano spesso in veri e propri punti critici che determinano talora seri problemi, non solo dal punto di vista dell'usabilità del servizio, ma anche da quello della sicurezza dei dati e della stabilità generale dell'ambiente operativo.

L'anno appena concluso ha visto proprio in questo senso un importante aggiornamento, definito "critico", della piattaforma per blog Wordpress.
Il 29 dicembre 2010 viene infatti rilasciato l'aggiornamento alla versione Wordpress 3.0.4, un update particolarmente importante in quanto finalizzato alla correzione di un bug registrato a livello di core.
Il bug segnalato è legato al KSES, un file PHP delegato alla gestione dell'inserimento di codice HTML su post e commenti.
Il principale elemento di rischio legato a questo bug si registra con una vulnerabilità che viene definita Cross site scripting, la quale consente ad un potenziale utente malintenzionato, di alterare a propria discrezione i contenuti delle pagine web, prendendo in un certo senso il controllo del sito attaccato con probabile e conseguente sottrazione di dati sensibili e informazioni preziose.

Naturalmente il software è per sua natura vulnerabile e non può essere avulso da eventuali problemi di sicurezza.
Tuttavia quel che contraddistingue gli ambienti open source e generalisti, come il sopra citato Wordpress, rispetto alle controparti proprietarie e specializzate, come l'ambiente per lo sviluppo di siti web Kmaori, risiede proprio nel diverso approccio rispetto alle problematiche di sicurezza e al loro potenziale livello di dannosità.
Una piattaforma proprietaria e sviluppata secondo le esigenze del singolo cliente possiede un monitoraggio continuo, costante e su misura, il quale consente inoltre di godere di una maggior sicurezza relativamente ad eventuali attacchi come quello sopra riportato, in quanto il codice viene pulito, controllato e testato su base specifica e su scala ridotta, portando di conseguenza anche il fattore di rischio a valori pressochè nulli. 

Scritto da Mauro Ventura