Ancora sicurezza

Oggi è la giornata della sicurezza WordPress, questa parrebbe invece una cosa seria, anche se di livello medio, in pratica con la nuova versione 2.5 si è introdotto un nuovo sistema di codifica delle password un componente delle quali è una chiave segreta da inserire nel file wp-config.php che si suggerisce di rendere molto lunga, varia e complessa.

Con il rilascio di WP 2.5 l’impostazione di questa chiave non è stato dato come “indispensabile” e pareva solo una ulteriore sicurezza, secondo il report di securitfocus invece parrebbe che senza quella si potrebbe forzare la password di admin. Non ho avuto modo di approfondire la cosa, causa mancanza di tempo, anche se mi è parso di capire che la forzatura potrebbe richiedere nel peggiore dei casi oltre un centinaio di giorni per una password di 7 caratteri ma anche solo una ventina di ore in casi fortunati. Per password più lunghe i tempi crescono. Inoltre per forzare una password di admin occorre disporre di un cookie di autenticazione per quel blog, quindi occorre essere utenti registrati.

Ecco perchè il probabile bug è considerato un problema di media gravità.

Sto indagando chiedendo ad esperti e direttamente agli sviluppatori e domani spero di avere aggiornamenti, nel frattempo suggerirei a chi ha aggiornato il proprio blog a WP 2.5 di aggiornare il proprio file wp-config aggiungendo le seguenti righe dopo i dati di accesso al database (si veda il file wp-config-sample.php per maggiori info)

// Modifica SECRET_KEY in una frase unica.  Non la si dovrà ricordare in seguito,
// quindi fatela lunga e complessa.  Si può visitare https://www.grc.com/passwords.htm
// per avere una frase generata automaticamente per voi, oppure createne una voi.
define('SECRET_KEY', 'inserire una frase univoca'); // cambiare in una frase univoca.

e sostituire

inserire una frase univoca

con una frase o serie di caratteri molto lunga, contenente lettere numeri e simboli, le stringhe proposte dal sito

https://www.grc.com/passwords.htm

sono ottime perchè perfettamente casuali ed esenti difetti crittografici oltre che essere garantite come univoche ad ogni generazione. Quindi usatelo serenamente… risparmierete tempo. Dopo la modifica verrà richiesto di rifare il login al primo accesso al vostro blog.

Appena disponibili aggiornamenti sul problema sarà mia cura segnalarli in coda a questo articolo.

Grazie a frasten per la segnalazione.

Aggiornamento: Ho avuto una chiara risposta da Mark Jaquith (uno degli sviluppatori di WP) che ha spiegato chelascinado la secret key vuota o con il valore predefinito questa non viene usata per “salare” la codifica delle password e quindi in tale caso la sicurezza delle password NON è compromessa ma ha lo stesso livello che aveva con le versioni precedenti di WP. La soluzione trovata è di generare una chiave segreta basata sulla data di modifica del file wp-config (basata su date e ora è un dato difficile da indovinare) solo nel caso tale chiave non sia stata impostata. È stato aperto un ticket a riguardo con una patch non ancora approvata che Ryan Boren proverà in questi giorni sui suoi blog.

Concludendo possiamo dire che il baco è meno grave di quanto sembri (al minimo si ha la medesima sicurezza pre 2.5, che usare una password non banale e abbastanza lunga, come sempre in ogni caso è una buona norma di “vita” e che è opportuno comunque aggiornare il proprio file wp-config aggiungendo il codice ed impostando la secret key come spiegato in questo articolo.