Sul forum ufficiale di wordpress si continua a leggere di blog, normalmente rimasti alla versione 2.5.1, che ricevono l’avviso di aggiornare alla versione 2.6.4.
Bene questa versione NON esiste e se avete questo avviso significa che il vostro blog è stato compromesso.
Se clikkare sul link per il download scaricherete una versione di wordpress dal sito worpdresz.org chiaramente finto.
Quindi COME SEMPRE SUGGERIAMO, fate subito tutti gli aggiornamenti di sicurezza appena escono.
Se qualcuno dovesse notare tale avviso nel suo blog, sarebbe estremamente utile poter analizzare *come* viene mostrato il messaggio di avviso per l’aggiornamento. Dato che è un feed RSS dal blog di sviluppo di WordPress, quello visualizzato, è della massima importanza capire come venga cambiata la visualizzazione del feed, per turare una possibile falla.
Potete contattarmi in privato, sul mio sito ci sono tutte le coordinate.
Mi sembra molto strano: perché mettono un link per scaricare una versione che non esiste?
Voglio dire: se decidi di creare una versione infetta dovresti sapere che la 2.6.4 è stata proprio saltata. Allora perché mettere quel messaggio per aggiornare alla 2.6.4? Così hai più possibilità di essere scoperto.
in realtà è abbastanza furba come cosa perchè in alto ti dice che sei alla 2.5.1 e che è disponibile la 2.6.3 subito sotto trovi il post del planet che ti dice di scaricare subito la 2.6.4 e ti rimanda(va) ad un sito clone di wordpres.org dove se non faci attenzione al link ti sembrava tutto normale, scaricavi l’aggiornamento ed eri fregato.
Spesso capita che tra il messaggio del planet e il cambio dell’avviso automatico passino anche molte ore.
9 commenti su “WordPress 2.6.4 NON ESISTE avviso di sicurezza”
Mario Pascucci
6 Novembre 2008 at 20:01Se qualcuno dovesse notare tale avviso nel suo blog, sarebbe estremamente utile poter analizzare *come* viene mostrato il messaggio di avviso per l’aggiornamento. Dato che è un feed RSS dal blog di sviluppo di WordPress, quello visualizzato, è della massima importanza capire come venga cambiata la visualizzazione del feed, per turare una possibile falla.
Potete contattarmi in privato, sul mio sito ci sono tutte le coordinate.
MrBrown
6 Novembre 2008 at 21:00Mi sembra molto strano: perché mettono un link per scaricare una versione che non esiste?
Voglio dire: se decidi di creare una versione infetta dovresti sapere che la 2.6.4 è stata proprio saltata. Allora perché mettere quel messaggio per aggiornare alla 2.6.4? Così hai più possibilità di essere scoperto.
wolly
6 Novembre 2008 at 21:33in realtà è abbastanza furba come cosa perchè in alto ti dice che sei alla 2.5.1 e che è disponibile la 2.6.3 subito sotto trovi il post del planet che ti dice di scaricare subito la 2.6.4 e ti rimanda(va) ad un sito clone di wordpres.org dove se non faci attenzione al link ti sembrava tutto normale, scaricavi l’aggiornamento ed eri fregato.
Spesso capita che tra il messaggio del planet e il cambio dell’avviso automatico passino anche molte ore.
Andrea
26 Novembre 2008 at 10:19Cosa vuole dire che non esiste ?
Io avevo una versione 2.6.3 e mi è comparso l’avviso e ho aggiornato.
Quindi state dicendo che ho scaricato una versione crakkata ?
Allora cosa devo fare ora ?
[…] tramite Paolo Valenti di WordPress-it.it di un recentissimo problema riguardante WordPress, a quanto pare dalla versione 2.5.x in […]
[…] Maggiori dettagli su WordPress Italy. […]
[…] La comunità italiana di WordPress lancia un avviso di sicurezza. […]
[…] La comunità italiana di WordPress lancia un avviso di sicurezza. […]
baju senam aerobik
WordPress 2.6.4 NON ESISTE avviso di sicurezza – WordPress Italy