WordPress, il noto CMS largamente utilizzato in tutto il mondo ieri si è aggiornato alla nuova versione 3.9.2 per correggere alcuni problemi di sicurezza recentemente individuati.
Nel mese di Luglio, infatti, WordPress insieme a Drupal sono stati vittime di numerosi attacchi DDOS mirati a rendere inaccessibili i siti basati su tali CMS. L’attacco consisteva nell’eseguire delle richieste POST al file “xmlrpc.php” del CMS generando un’aumento dell’utilizzo delle risorse del Server (CPU, RAM, Banda/Connessioni) fino ad arrivare alla completa saturazione e quindi al down del sito o del Server.
Anche noi di WpSEO abbiamo ricevuto costanti e ingenti attacchi di tale genere nelle ultime 2 settimane e più volte siamo stati costretti ad intervenire sui nostri sistemi di difesa per evitare che impattassero negativamente sulle performance e sulla visibilità dei siti ospitati.
Per maggiori dettagli tecnici circa l’attacco XMLRPC potete far riferimento al sito di BreakSecurity dove è stato ampiamente analizzato e documentato.
La nuova versione di WordPress 3.9.2 rilasciata ieri ed in particolare il fix a tale problema di sicurezza nasce dal lavoro congiunto di Drupal Security Team e del WordPress Security Team. E’ la prima volta che i due team di sicurezza lavorano assieme e il risultato è stato encomiabile per la velocità con la quale han trovato e rilasciato la fix di sicurezza.
Oltre ciò in questa ultima release di WordPress sono presenti ulteriori patch di sicurezza per prevenire l’esecuzione remota di codice (in alcune particolari casistiche) ed eventuali attacchi Brute Force. Potete trovare maggiori dettagli circa le novità di questa versione WordPress consultando il changelog.
Come sempre invitiamo tutti gli utilizzatori di WordPress ad eseguire quanto prima l’aggiornamento (qualora non sia avvenuto automaticamente)
