WordPress 2.6.4 NON ESISTE avviso di sicurezza


Sul forum ufficiale di wordpress si continua a leggere di blog, normalmente rimasti alla versione 2.5.1, che ricevono l’avviso di aggiornare alla versione 2.6.4.

Bene questa versione NON esiste e se avete questo avviso significa che il vostro blog è stato compromesso.

Se clikkare sul link per il download scaricherete una versione di wordpress dal sito worpdresz.org chiaramente finto.

Quindi COME SEMPRE SUGGERIAMO, fate subito tutti gli aggiornamenti di sicurezza appena escono.

ALcuni link utili:

http://www.craigmurphy.com/blog/?p=874

http://www.securityfocus.com/archive/1/490887/30/0/threaded

http://www.sophos.com/security/blog/2008/11/1942.html

Leggendo i vari articoli sembrerebbe che ad essere soggetti a questi attacchi siano i blog con più di 5 utenti.

Hai qualche Domanda o vuoi Commentare?

9 commenti su “WordPress 2.6.4 NON ESISTE avviso di sicurezza

Se qualcuno dovesse notare tale avviso nel suo blog, sarebbe estremamente utile poter analizzare *come* viene mostrato il messaggio di avviso per l’aggiornamento. Dato che è un feed RSS dal blog di sviluppo di WordPress, quello visualizzato, è della massima importanza capire come venga cambiata la visualizzazione del feed, per turare una possibile falla.
Potete contattarmi in privato, sul mio sito ci sono tutte le coordinate.

Reply

Mi sembra molto strano: perché mettono un link per scaricare una versione che non esiste?
Voglio dire: se decidi di creare una versione infetta dovresti sapere che la 2.6.4 è stata proprio saltata. Allora perché mettere quel messaggio per aggiornare alla 2.6.4? Così hai più possibilità di essere scoperto.

Reply

in realtà è abbastanza furba come cosa perchè in alto ti dice che sei alla 2.5.1 e che è disponibile la 2.6.3 subito sotto trovi il post del planet che ti dice di scaricare subito la 2.6.4 e ti rimanda(va) ad un sito clone di wordpres.org dove se non faci attenzione al link ti sembrava tutto normale, scaricavi l’aggiornamento ed eri fregato.
Spesso capita che tra il messaggio del planet e il cambio dell’avviso automatico passino anche molte ore.

Reply
Andrea

Cosa vuole dire che non esiste ?
Io avevo una versione 2.6.3 e mi è comparso l’avviso e ho aggiornato.

Quindi state dicendo che ho scaricato una versione crakkata ?
Allora cosa devo fare ora ?

Reply

[…] tramite Paolo Valenti di WordPress-it.it di un recentissimo problema riguardante WordPress, a quanto pare dalla versione 2.5.x in […]

[…] La comunità italiana di WordPress lancia un avviso di sicurezza. […]

[…] La comunità italiana di WordPress lancia un avviso di sicurezza. […]

baju senam aerobik ha detto:

baju senam aerobik

WordPress 2.6.4 NON ESISTE avviso di sicurezza – WordPress Italy

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Archivi

Categorie