Un importante fix di sicurezza per WordPress

Ho appena letto sul blog di Jeff Starr di una per nulla simpatica esperienza accadutagli in questi giorni, che lui racconta in Important Security Fix for WordPress. In breve, gli crasha il server e, collegandosi al suo indirizzo, anziché visualizzare la generica schermata di “Error establishing a database connection”, WordPress gli fa visualizzare la schermata di installazione di WordPress! Questo significa che chiunque in quel momento può reinstallare una copia di WordPress nel database. Nel caso di Jeff, 100 visitatori hanno visualizzato quella pagina e qualcuno ne ha anche approfittato.

In attesa di un fix definitivo, Jeff dà tre consigli diversi su come mettere una momentanea (ma efficace) pezza al problema. È sufficiente cancellare il file wp-admin/install.php, che non serve a nient’altro dopo che WordPress è stato installato. È la soluzione che ho adottato subito io, sebbene la terza sia molto intrigante (il server vi manda una mail se ci sono problemi col database). D’altra parte, altri software basati su PHP richiedono all’amministratore – prima di poter usare il pacchetto – di cancellare il file di installazione o l’intera directory di installazione.

Fatelo senza pensarci due volte. Meglio prevenire… e occhio a quale file cancellate! 🙂 Se volete, potete optare per rinominarlo, ma dategli un nome che non sia facilmente indovinabile.

aldolat

Il blocco note di Aldo.


WordPress, di suo, non chiede di eliminare il file di installazione <tt>wp-admin/install.php</tt>, come invece fanno gli altri CMS. Per ovviare a possibili problemi di sicurezza, ecco come fare per mettersi al sicuro.