Defacement di articoli in WordPress

È la prima volta che ci troviamo a scrivere su una versione specifica di WordPress, ma dato che abbiamo visto negli ultimi giorni un incremento di problemi dovuti ad alcuni bug incredibili, ecco questo articolo.

L’ultima versione di WordPress 4.7.2 (ad oggi 10.02.2017), mette a posto una incredibile vulnerabilità delle 2 versioni precedenti: 4.7.0 e 4.7.1, che permettono di inviare dei POST senza autentificarsi a causa di un problema nelle REST API.

Concretamente questo si tramuta in un defacement degli ultimi articoli inseriti all’interno di un sito web.
Le pagine o altri contenuti generati in altro modo, non sono stati toccati, il tutto riguarda solo siti che usano gli articoli.

Leggendo i dettagli e la discussione online nata da questo super bug, diversi (e noi pure!) ci chiediamo perchè mai sia stata presa la poco sicura decisione di lasciare attive di default le REST API.

Versioni precedenti non sono affette da questo problema.

Affaire à suivre.

Aggiornamento del 20.02.2017
WP Tavern il 13 febbraio, ha pubblicato un interessante post con alcuni dettagli in più su questo defacement.
Leggendo nei commenti, se ne trova uno con un rimando ad un post di un blogger tedesco che spiega come disabilitare le REST API senza l’uso di un plugin.