ArticoliDa ieri circolano strane voci su bachi di sicurezza di WP, bene è vero, quello che non è vero è che il baco interessa l’ultima versione di WP, la 2.8.4. La vurnerabilità interessa solo le precedenti versioni di WP e permette di creare un amministratore fantasma e quindi aprire il proprio blog a qualsiasi altro tipo di abuso.
Segnalato il problema ieri su Lorelle On WordPress e oggi in maniera indiretta da Matt sul blog ufficiale, questa vurnerabilità trova la sua unica soluzione nell’aggiornare la propria installazione di WP all’ultimissima versione (la 2.8.4) che è esente da questo problema. Tale vurnerabilità ha due sintomi precisi:
- La presenza nei permalink di una strana stringa di codice, ad esempio http://www.sito.com/2009/09/05/titolo-post/%&(%7B$%7Beval(base64_decode($_SERVER%5BHTTP_REFERER%5D))%7D%7D|.+)&%/, o altre similari che abbiano comquneu al loro interno il termine eval e/o il termine base64_decode.
- La presenza di un utente amministratore con nomi strani tipo “Administrator(2)” che risulta impossibile cancellare.
La soluzione all’infezione non è semplicissima, aggiornare NON serve a nulla a questo punto così come eventuali backup potrebbero non essere utili se si è stati “infettati” già da tempo (ma potete sempre provare a ripristinare un backup precedente e verificare se i permalink o l’admin sono corretti) la soluzione più sicura è l’esportazione dei dati tramite le funzioni di export di WP la reinstallazione di WP su un database pulito e vuoto e la successiva reimportazione dei contenuti.
Questo episodio evidenzia ancora una volta come garantire la sicurezza del proprio sito richieda un approccio multiplo e sopratutto meno pigrizia, la strategia corretta è:
- Backup automatici regolari del DB possibilmente spediti per email su un proprio account e di cui si tiene un archivio vecchio anche di qualche settimana
- Backup o copia locale dei file e/o immagini caricate in modo da poterle ripristinare facilmente
- Aggiornamento del blog appena appare una versione nuova di WP, il continuo aggiornamento non ci esenta da problemi di sicurezza nuovi ma ci garantisce che le falle conosciute siano state chiuse, in ogni caso ogni provblema di sicureza recente è sempre stato corretto rapidamente solitamente nelle 24 ore successive alla scoperta, confermando quindi che l’aggiornamento continuo (ora sempliificato dal sistema automatico di aggiornamento) garantisce un elevata sicureza del proprio blog.
Quindi aggiornate, aggiornate, aggiornate… e non dite che non ve lo avevamo detto…
Commenti dei Lettori
L’ho testato personalmente purtroppo.
Me ne sono reso conto quasi subito, quindi non penso di subire penalizzazioni in SERP.
Nel mio caso non ho trovato l’Admin aggiunto, solo gli URL riscritti (m’è bastato cambiare la struttura dei permalink e riportarla com’era prima).
Ho controllato l’FTP e il MySQL e non ho trovato nulla di anomalo.
Amici… aggiornate!!!
Una mia amica si è ritrovata col blog infettato a quel modo (permalink alterati), gliel’ho sistemato rimuovendo l’utente “abusivo” dalla tabella wp_users e cancellando la schifezza aggiunta nel campo permalink_structure in wp_options.
Adesso sembra tutto in ordine.
A differenza di quanto ho visto in altri casi, nessun codice è stato aggiunto ai file del tema, nessun plugin maligno è stato installato o modificato.
In più ho aggiunto a .htaccess una serie di rewrite rules di base per la protezione dagli script, sono una sicurezza in più e penso che wordpress dovrebbe dare la possibilità di implementarle facilmente dal pannello di controllo…
Thanks to God, i use latest trunk, everywhere.
Fortunatamente sono riuscito a risolvere tutto ripristinando il db con il backup che mi arriva ogni settimana sulla mail…
Ho fatto 3-4 infarti!!!
Ma come fanno a fare un attacco di massa del genere?
un 15 giorni fa io ho avuto problemi perchè non riuscivo più ad accedere e avevo la versione 2.7, magari era qualche inizio di attacco, ho aggiornato con non poche difficoltà, adesso è tutto ok con la 2.8.4
grazie della segnalazione
Grazie per le info, ma vurnerabilità non si puo’ proprio leggere. Per favore, correggi il prima possibile.
Ciao dopo l’aggiormanento in admin mi da questo errore… potresti dirmi qualcosa?
Fatal error: Allowed memory size of 33554432 bytes exhausted (tried to allocate 30720 bytes) in /home/mhd-01/www.lillodipiazza.com/htdocs/wp-admin/includes/misc.php on line 555
@Lillo
disabilita i plugin e poi riprova
Come li disattivo senza poter entrare nella pagina admin?
@Lillo
Se hai un accesso FTP o comunque un file manager, non c’e’ problema. Ti basta rinominare qualcuna delle cartelle che trovi nella wp-content/plugins. Esempio: google-analyticator potrebbe diventare google-analyticator-inactive.
Ottimo adesso parte grazie mille
Leggo nel blog di Lorelle che uno dei modi di evitare il worm (per chi non può aggiornare il suo blog per svariati motivi) è quello di proteggere con basic authentication la directory wp-admin. Non è chiaro però se l’affermazione è basata su rilevazioni reali oppure è soltanto un’ipotesi. Ne sapete qualcosa?
Anche a me su una versione 2.6 (non ho mai tempo di aggiornarla per la grande quantità di contenuti) è capitato questo attacco.
I permalink sono puliti, nessun codice strano. E’ stato solo creato l’utente amministratore nascosto che ho rimosso direttamente dal database. Non è stato creato nessun altro codice malevolo.
Nel blog aziendale sono riuscito a riparare all’hacking. Tempo di leggere l’annuncio e già mi avevano “forato”.
Cmq è stato semplice nel mio caso e mi ha aiutato il post di Frack.
e’ bastato:
1- andare su phpmyadmin
2- wp-option
3- riscrivere site url e cancellare il nome blog hackerato
in wp-user non avevo nessun nuovo account, così come nei link
Grazie!
Alessio
Io ho un blog installato automaticamente con Aruba.it, nel pannello di controllo di Aruba Gestione Applicazioni mi dice che non ci sono aggiornamenti per la piattaforma… il file leggimi dentro le cartelle parla della versione 2.8…
Mi sa che Aruba distribuisce gli aggiornamenti quando gli pare? L’avete mai usato?
Devo aggiornare il sito Blog dal vecchio WP 2.1.2.
Quantunque semplice Subscriber sono la proprietaria del Dominio ed il precedente Admin era un Blogger che non si fa più trovare.
Mi sono intestata come Admin ma non ho l’accesso al Dashboard.
Se migro in WP 2.8 eredito le funzioni precedenti oppure posso modificare il mio ruolo e diventare Admin del Blog?
Quali consigli mi dareste?
Ciao a tutti Manu …
per le richieste di supporto c’è il forum
A me capita che il sito mi dice che devo installare wordpress, ma wordpress c’è anche se non aggiornato: cosa devo fare?
Tutto risolto, sistemato ed aggiornato all’ultima versione!
Trackback/Pingback