Tutti i siti WordPress sono vulnerabili a possibili attacchi DoS: perché e come risolvere

Giorni difficili per chi gestisce un sito WordPress. Il team di sviluppo ha infatti commesso un grave errore nella distribuzione di WordPress 4.9.3, aggiornamento teso alla risoluzione di alcuni bug di entità minore.
L’installazione di WordPress 4.9.3 ha infatti provocato il danneggiamento del sistema di aggiornamento automatico del CMS, meccanismo che consente di adeguare la piattaforma all’ultima versione disponibile senza la necessità di alcun intervento manuale.

Per ripristinare il funzionamento del sistema di update integrato, WordPress ha immediatamente rilasciato la versione 4.9.4 che risolve il problema ma che, evidentemente, deve essere installata in modo manuale da parte degli utenti che hanno installato WordPress 4.9.3.

Barak Tawily, ricercatore esperto in materia di sicurezza informatica, ha però notato che gli sviluppatori di WordPress si sono dimenticati di porre rimedio a una vulnerabilità che espone milioni di utenti del CMS, in tutto il mondo, ad attacchi DoS (Denial of Service).
Secondo Tawily il 29% dei siti web in tutto il mondo sarebbe vulnerabile tanto che ogni sito WordPress potrebbe cessare di funzionare e smettere di rispondere alle richieste dei client nel momento in cui un aggressore remoto usasse un semplice script documentato in questa pagina.

Gli esperti di Imperva sostengono di aver osservato, al momento, solo poche decine di attacchi ma che le modalità di aggressione sono talmente semplici da porre in essere che il numero degli incidenti registrati è destinati a subire una repentina “impennata”.

Il problema individuato da Tawily ha a che fare con due moduli PHP (load-styles.php e load-scripts.php) presenti nella cartella /wp-admin di WordPress. Essi accettano l’invio di un numero illimitato di direttive JS/CSS, anche da parte di utenti che non sono amministratori del sito WordPress: inviando importanti quantitativi di dati, quello che ne scatuisce è un attacco DoS vero e proprio capace di mettere al tappeto qualunque installazione del CMS.

Come proteggersi dall’attacco DoS nei confronti di WordPress

Per difendersi dagli attacchi DoS sferrati nei confronti dei propri siti WordPress, il nostro consiglio è quello di proteggere la cartella /wp-admin con username e password, come abbiamo spiegato nell’articolo Htaccess e WordPress, alcune configurazioni particolarmente utili.
Il team di WordPress ha infatti dichiarato che non intende risolvere il problema.

In alternativa, Tawily ha rilasciato una patch che permette di limitare l’interazione con i moduli PHP “incriminati” riducendo la possibilità di usarli ai soli amministratori del sito WordPress, correttamente autenticati.
Lo script che consente di risolvere la vulnerabilità di WordPress su server Linux è pubblicato a questo indirizzo.