Questo è un post tecnico di 8 anni fa. Le istruzioni potrebbero non essere più valide. Publicato: Febbraio 25, 2017 Aggiornato: Gennaio 14, 2018
Come tutti i marketer e possessori di blog o siti web, ho a cuore la sicurezza del mio blog.
Per questo motivo volevo segnalarti quello che è successo a CloudFlare, una delle CDN più popolari ed usate da milioni di siti web.
CloudFlare ha scoperto, di recente, di avere un gravissimo bug che ha compromesso la sicurezza di milioni di siti web: CloudBleed un bug CloudFlare
Come è stato scoperto CloudBleed un bug CloudFlare sulla sicurezza?
Questo bug è stato scoperto dall’analista Tavis Ormandy, che attualmente lavora su diversi progetti per Google.
Il bug è stato soprannominato Cloudbleed perchè molto somigliante al bug Heartbleed che qualche anno fa colpi il software di sicurezza OpenSSL. Questa volta, però, il bug ha interessato tutti i siti web che utilizzano Cloudflare.
Anche in questo caso i dati esposti a questa vulnerabilità includono password, cronologia di navigazione, indirizzi IP, token di autenticazione, chat private avviate tramite app per cellulari.
Questo bug ha comportato, per tutti i siti web che utilizzano alcune specifiche caratteristiche di CloudFlare, la perdita dei dati sensibili, comprese le password.
Questo è l’articolo riportato da Cloudflare che spiega come CloudBleed ha minato la sicurezza di circa due milioni di siti web: https://blog.cloudflare.com/incident-report-on-memory-leak-caused-by-cloudflare-parser-bug/[
Anche il mio blog è stato interessato da CloudBleed il bug CloudFlare sulla sicurezza?
Sicuramente, ora, come me ti starai chiedendo.
Anche il mio blog è stato interessato da questo bug sulla sicurezza?
La risposta purtroppo è: molto probabilmente SI se anche il tuo sito utilizza CloudFlare.
In particolare, anche il tuo sito web è stato interessato da questo bug se utilizza alcune specifiche caratteristiche messe a disposizione da CloudFlare.
Nello specifico, queste sono le funzioni e le funzionalità interessate dal bug:
- Dal 22 settembre 2016, è stata affetta dal bug sicurezza la funzione Automatic HTTP Rewrites.
- Dal 30 gennaio 2017, è stata affetta dal bug sicurezza la funzionalità Server-Side Excludes.
- Dal 13 febbraio 2017, è stata affetta dal bug sicurezza la funzione Email Obfuscation.
Sempre secondo CloudFlare, questo bug è stato risolto il 18 febbraio 2017.
Per sapere se anche il tuo blog utilizza CloudFlare, collegati con questo tool online: http://www.doesitusecloudflare.com
Cosa devo fare se anche il mio blog è stato colpito da CloudBleed il bug CloudFlare sulla sicurezza?
A questo punto, ti consiglio di controllare subito la tua configurazione CloudFlare e valutare quando e se anche il tuo sito è stato colpito da questa grave vulnerabilità.
Cosa devo fare se il mio sito web è stato interessato da questo bug?
Innanzitutto, dovresti avvisare e chiedere a tutti gli iscritti del tuo sito web di cambiare immediatamente le loro credenziali di accesso.
Se i tuoi utenti hanno la possibilità di registrarsi e fare il login nel tuo blog dovresti:
- stabilire, in base alle date che ti ho dato sopra, il periodo in cui il tuo sito web è stato colpito dal bug sicurezza;
- resettare, per il periodo interessato dal bug, tutti i token di autenticazione;
- chiedere a tutti gli utenti che si sono iscritti in quel periodo di modificare le loro password;
- avvisare tutti gli utenti dell’esistenza di CloudBleed il bug CloudFlare sulla sicurezza.
Per fare in modo che tutti i tuoi utenti eseguano nuovamente il login, devi modificare le chiavi Univoche di Autenticazione nel tuo blog WordPress seguendo questa procedura:
- Apri il file wp-config.php.
- Cambia le chiavi di autenticazione utilizzando il servizio di chiavi-segrete di WordPress.org utilizzando questo link: https://api.wordpress.org/secret-key/1.1/salt/
Ma se non sono stato colpito da questo bug c’è qualcosa che devo fare?
Se non sei stato colpito dal bug sicurezza, ti consiglio comunque di controllare la lista dei siti affetti dal bug, presente sul sito github: https://github.com/pirate/sites-using-cloudflare/blob/master/README.md
In ogni caso, senza pensarci sopra e per maggiore sicurezza, cambia subito la password di accesso al tuo sito web ed attiva anche l’autenticazione a due fattori (cioè quella basata oltre che su una password, anche su un codice ricevuto tramite sms o app).
Infine, ti segnalo i migliori plugin WordPress che puoi utilizzare per attivare l’autenticazione a due fattori:
- Google authenticator: https://it.wordpress.org/plugins/google-authenticator/
- Duo Two-Factor Authentication: https://wordpress.org/plugins/duo-wordpress/
Ti piace?
Se hai trovato utili le informazioni che ho condiviso, iscriviti subito al mio gruppo chiuso Facebook [WordPress primi passi] o al mio canale Telegram per ricevere in anticipo nuove chicche e nuovi trucchi per il successo del tuo Blog WordPress.
Se ti piace quello che scrivo, fai una donazione per contribuire a sostenere il mio blog! Fai Ora una donazione con PayPal 😉
Mi puoi trovare anche su questi social: Twitter, Facebook, YouTube, Linkedin, e Instagram.
Lascia un commento