Gli utenti che bloggano con WordPress hanno un intervento immediato da compiere: la versione 2.1.1 va immediatamente sostituita con la nuova versione 2.1.2. Il consiglio è valido in modo specifico per coloro i quali hanno scaricato ed installato WordPress dopo il 25 Febbraio 2007, data in cui alcuni malintenzionati avrebbero manomesso alcuni dei file disponibili sul server del servizio rendendo insicura l’installazione dei file.
Secunia giudica il problema «highly critical» e WordPress si affretta a comunicare tramite i canali ufficiali la necessità di provvedere quanto prima alla sostituzione coatta dei file scaricati negli ultimi giorni. L’intervento dei malintenzionati sarebbe stato notato su due file specifici ed avrebbe aperto le porte ad una esecuzione di codice PHP da remoto.
Alcuni utenti si troveranno resettata la password per accedere al servizio, precauzione necessaria per risolvere il problema in modo indolore. WordPress ha già messo a disposizione dell’utenza anche la versione italiana dei file, anche se il blog ufficiale specifica come l’utenza del nostro paese non dovrebbe correre rischio alcuno: «siccome le versioni italiane non vengono realizzate partendo dalla versione scaricabile sul sito di WordPress.org ma direttamente dal repository SVN, la versione 2.1.1 italiana non dovrebbe essere affetta dal problema. In ogni caso anche noi come già fatto da wordpress.org dichiariamo tale versione insicura ed invitiamo a procedere all’aggiornamento secondo le solite procedure alla nuova versione che è scaricabile dalla specifica pagina del wiki».
WordPress 2.1 è ad oggi stato scaricato quasi 600.000 volte, ma il problema non può che essere limitato ai pochi che negli ultimi giorni hanno scaricato ed installato la versione 2.1.1. Per questi pochi utenti il monito è però forte: l’aggiornamento sollecito alla release 2.1.2 è cosa dovuta. L’aumento apparente del ritmo dei download nelle ultime ore dimostra come il monito stia cavalcando un rapido passaparola.