Le regole del digitale stanno cambiando.
O sei visibile o sei fuori. Noi ti aiutiamo a raggiungere i clienti giusti — quando ti stanno cercando.
Contattaci ora →
Aggiornamenti lampo per tappare falle di sicurezza, ma l’inconveniente solleva dubbi sulla solidità del processo di sviluppo di WordPress
La recente sequenza di aggiornamenti in casa WordPress, con le versioni 6.9.3 e 6.9.4 rilasciate a meno di 24 ore di distanza, solleva seri dubbi. Questa corsa contro il tempo si è resa necessaria per correggere falle di sicurezza critiche lasciate aperte dalla versione precedente, un pasticcio che mette in discussione la stabilità e l'affidabilità del celebre CMS.
Le tre falle di sicurezza che hanno richiesto un intervento immediato
Le vulnerabilità in questione non sono affatto da sottovalutare. Si tratta di tre problemi distinti che, se sfruttati, potrebbero causare non pochi grattacapi.
La prima è una vulnerabilità di tipo “Path Traversal” nella libreria PclZip, che in parole semplici poteva permettere a un malintenzionato di accedere a file del sito che non avrebbe dovuto vedere.
La seconda, invece, riguardava un bypass delle autorizzazioni nella funzionalità “Notes”, mettendo a rischio la gestione dei permessi nelle funzioni di editing collaborativo.
Infine, la terza falla era un’iniezione di tipo XXE (XML External Entity) nella libreria esterna getID3. Come riportato nella documentazione ufficiale di WordPress 6.9.4, per quest’ultima è stato necessario coordinarsi direttamente con il manutentore della libreria per ottenere una versione sicura.
Insomma, un quadro piuttosto serio che giustifica l’urgenza.
Tutto questo rincorrersi di versioni, però, solleva una domanda più grande: com’è possibile che un aggiornamento di sicurezza crei così tanti problemi a catena?
Un ciclo di sviluppo che lascia qualche dubbio
Per capire bene la situazione, bisogna fare un passo indietro. La versione 6.9.2, rilasciata il 10 marzo, doveva risolvere ben dieci problemi di sicurezza.
Peccato che, oltre a non averli risolti tutti, abbia introdotto un nuovo bug: alcuni siti, dopo l’aggiornamento, mostravano una pagina completamente bianca.
Un bel problema, che ha costretto il team a rilasciare in fretta e furia la versione 6.9.3 per correggere questo specifico malfunzionamento.
Diciamocelo, questa sequenza di eventi non trasmette esattamente un’immagine di solidità.
Prima un aggiornamento di sicurezza incompleto, poi un bug che rompe i siti, e infine un’ulteriore patch per sistemare le falle dimenticate.
Viene da chiedersi se la spinta a rilasciare nuove funzionalità non stia mettendo in secondo piano la stabilità e la sicurezza, che per un CMS usato da milioni di siti dovrebbero essere la priorità assoluta.
Questa sequenza di toppe maldestre somiglia a un serpente che si morde la coda. Più che un processo di sviluppo, sembra un esperimento condotto sulla nostra pazienza collettiva.
E io ci affido il mio lavoro, una scommessa quotidiana sulla competenza altrui.
@Paolo Pugliese Smetti di scommettere sul cavallo altrui. Un vero costruttore sceglie ogni singolo mattone della sua fortezza, non si lamenta se le fondamenta donate da altri cedono. La dipendenza è una debolezza, non una condizione di lavoro accettabile.
Un casino del genere espone un quality control inesistente, non un semplice errore. Mi chiedo quali altri scheletri nascondano nel codice sorgente.
Applicano cerotti su ferite profonde. La prognosi del paziente resta riservata.
Hanno fatto un bel casino, poco da dire. Questa rincorsa al fix mette i brividi. Però la sicurezza al 100% non esiste, è un dato di fatto. O hai un piano di manutenzione o sei fritto.
Ci vendono il brivido della vulnerabilità come un’opzione di manutenzione a pagamento.
Mentre loro tessono e disfano con grande clamore, la nostra vulnerabilità diventa il vero tessuto del loro racconto; un dettaglio narrativo che fingono di cancellare ma che, in fondo, li definisce.
@Isabella Sorrentino Hai colto il punto: la nostra esposizione è la loro migliore campagna pubblicitaria. A volte mi chiedo se questa perenne insicurezza non sia, in realtà, l’unica vera feature che offrono.
Questa rincorsa alle pezze sembra la tela di Penelope, un lavoro inutile. Io che analizzo ogni singolo dato per costruire qualcosa di solido, mi ritrovo su una piattaforma che è un colabrodo. A volte mi chiedo se non abbia sbagliato tutto fin dall’inizio.