Recentemente nell’ambito IT ha dato qualche preoccupazione una vulnerabilità classificata come “critica” che risponde al nome di Ghost. Scoperta in gennaio 2015 permetterebbe ad un potenziale malintenzionato di eseguire codice remoto al fine di prendere il controllo di una macchina server. La vulnerabilità interessa la libreria GlibC (Gnu C Library) presente praticamente nella totalità dei Server Linux. Questa libreria ha a che fare anche con PHP e quindi di riflesso anche con WordPress, poiché una delle funzioni critiche viene proprio invocata per anteposta richiesta dal nostro Blog – Cms engine.
Le maggiori distribuzioni Linux, come sempre si è contraddistinto nella storia informatica, hanno già sistemato la situazione con le patch apposite. Tuttavia i vari Hosting Provider non sono così pronti a recepire le varie patch di sicurezza e quindi passa del tempo, a volte parecchio tempo, prima che il “cerotto” arrivi a sistemare definitivamente la situazione.
La libreria GlibC sicura è la versione 2.18 e successive. Come facciamo a sapere se quella del nostro Hosting Provider è superiore o meno? possiamo a chiedere a PHP con la funzione phpinfo. Creiamo un file che si chiamerà phpinfo.php e al suo interno copiamo il codice sottostante:
<?php
phpinfo();
?>Salviamo il tutto e lo richiamiamo puntando la URL con il nostro browser. Vedrete un sacco di informazioni, utilizzando il metodo di ricerca del vostro browser (di solito tasto CTRL + F) cercate “glibc”. Dovrebbe uscire una istanza su iconv che mostra appunto la libreria e il suo numero di versione.
Che fare?
se la nostra libreria è 2.18 o superiore siamo a posto. Se non lo siamo possiamo tamponare momentaneamente disattivando XML-RPC e i Pingback in WordPress. Se la prima non è dolorosa come soluzione, il pingback invece potrebbe esserlo un po’ di più in termini di efficienza SEO.
Per disattivare XML-RPC è possibile agire direttamente con una direttiva all’interno di wp-config.php, tuttavia è decisamente consigliato utilizzare un più comodo e agevole plugin. Potete scaricare il plugin da questo Link (o visualizzare il contenuto) e installarlo nella vostra cartella Plugin.
Per disattivare i pingback e trackback, dovete andare sotto Impostazioni ⇒ discussioni e la seconda voce è quello che cerchiamo. Basterà de-spuntare la scelta.
Entrambe le soluzioni ovviamente non mettono completamente al riparo noi e il server poiché nel caso ci siano altri web services in cui è possibile richiamare in qualche modo la falla, di riflesso ci troveremo potenzialmente coinvolti a nostra volta. E’ quindi quanto mai necessario cercare di sollecitare l’Hosting Provider affinché applichi gli aggiornamenti alla libreria incriminata.