In passato vi avevamo già parlato di W3 Total Cache come di un ottimo plugin per WordPress per il caching utilizzato (tra l'altro) da siti molto famosi come mattcutts.com, mashable.com, smashingmagazine.com, makeuseof.com, yoast.com, ecc.; oggi vi mettiamo in guardia su di un problema legato alla sicurezza di questo strumento.
Il problema è relativo al modo in cui W3TC immagazzina la cache dei database in una directory accesssibile al pubblico, questo sistema può rendere possibile recuperare le informazioni relative alle password e altre informazioni riguardanti i database, ecco perché:
con le impostazioni predefinite, questo plugin, conserva la cache in /wp-content/w3tc/dbcache/ e ciò rende possibile (nel caso in cui abbiate la lista delle directory visibile) a chiunque di puntare a: vostrosito.com/wp-content/w3tc/dbcache/ e scaricare il tutto.
Nel caso in cui non abbiate la lista delle directory visibile a tutti, è comunque possibile interrogare file e directory per estrarne le query e i risultati.
Ecco perché si rende necessario l'aggiornamento appena rilasciato:
Grazie a questo aggiornamento sono stati corretti i problemi descritti precedentemente; non sarà quindi più possibile accedere al vostro database dalla directory wp-content/w3tc/dbcache/*, inoltre questa patch funziona in tutti gli ambienti nei quali php è correttamente configurato e le modifiche al file .htaccess (o qualsiasi altra modifica al server) sono assolutamente non necessarie per rendere più sicuri tutti i vostri dati.
Ricordatevi, però, di svuotare la cache del vostro database prima di aggiornare il plugin.
Buon lavoro!
