Stando ai dati risalenti allo scorso anno, WordPress è la piattaforma utilizzata per far funzionare più di 60 milioni di blog in tutto il mondo. In forza della sua grande popolarità, WordPress è oggetto di continue verifiche in tema di sicurezza.
Chi gestisce uno o più blog WordPress dovrebbe immediatamente scaricare ed installare la release 3.9.2 del CMS, rilasciata appena qualche giorno fa, perché consente di risolvere una importante vulnerabilità di sicurezza.
Diversamente, senza l’applicazione dell’aggiornamento, il proprio blog potrebbe essere vittima di attacchi DoS (Denial of Service) divenendo completamente irraggiungibile.
Un attacco DoS, com’è noto, mira ad esaurire le risorse a disposizione di un sistema (banda di rete, processore, memoria, risorse hardware il cui utilizzo è stato definito via software,…) così da rendere impossibile una successiva erogazione del servizio.
Nel caso di WordPress, l’attacco recentemente messo a nudo, provoca un utilizzo del 100% della CPU, lato server, e determina la comparsa di un errore (Error establishing a database connection). Il numero massimo di connessioni MySQL impostato lato server viene infatti esaurito provocando il blocco completo del blog (errore mysql_connect(): Too many connections
).
Come già accaduto in passato (vedere l’articolo 162.000 blog WordPress usati in un pesante attacco DDoS), viene ancora una volta sfruttata l’interfaccia XML-RPC di WordPress: grazie al protocollo XML-RPC, la piattaforma CMS permette infatti servizi di pingback, trackback e l’acesso remoto ad alcuni utenti. RPC è l’acronimo di Remote Procedure Call: XML-RPC utilizza HTTP per trasportare le informazioni ed XML per codificare i dati.
L’autore della scoperta, Nir Goldshlager, spiega nel dettaglio come avviene l’attacco chiarendo che basta una singola macchina per sferrarlo. Battezzata XML Quadratic Blowup Attack, l’aggressione consiste nell’inviare iterativamente, all’interfaccia XML-RPC remota del blog WordPress, una lunga serie di caratteri. Lato server, nel tentativo di elaborare i dati trasmessi dal client remoto, WordPress è portato a richiamare rapidamente tutte le risorse disponibili sulla macchina determinando infine l’irraggingibilità del sito.
Per risolvere il problema, è possibile aggiornare all’ultima versione di WordPress (o di Drupal; anche questo CMS è infatti affetto dalla stessa vulnerabilità) oppure cancellare il file xmlrpc.php
.