Da ieri circolano strane voci su bachi di sicurezza di WP, bene è vero, quello che non è vero è che il baco interessa l’ultima versione di WP, la 2.8.4. La vurnerabilità interessa solo le precedenti versioni di WP e permette di creare un amministratore fantasma e quindi aprire il proprio blog a qualsiasi altro tipo di abuso.
Segnalato il problema ieri su Lorelle On WordPress e oggi in maniera indiretta da Matt sul blog ufficiale, questa vurnerabilità trova la sua unica soluzione nell’aggiornare la propria installazione di WP all’ultimissima versione (la 2.8.4) che è esente da questo problema. Tale vurnerabilità ha due sintomi precisi:
- La presenza nei permalink di una strana stringa di codice, ad esempio http://www.sito.com/2009/09/05/titolo-post/%&(%7B$%7Beval(base64_decode($_SERVER%5BHTTP_REFERER%5D))%7D%7D|.+)&%/, o altre similari che abbiano comquneu al loro interno il termine eval e/o il termine base64_decode.
- La presenza di un utente amministratore con nomi strani tipo “Administrator(2)” che risulta impossibile cancellare.
La soluzione all’infezione non è semplicissima, aggiornare NON serve a nulla a questo punto così come eventuali backup potrebbero non essere utili se si è stati “infettati” già da tempo (ma potete sempre provare a ripristinare un backup precedente e verificare se i permalink o l’admin sono corretti) la soluzione più sicura è l’esportazione dei dati tramite le funzioni di export di WP la reinstallazione di WP su un database pulito e vuoto e la successiva reimportazione dei contenuti.
Questo episodio evidenzia ancora una volta come garantire la sicurezza del proprio sito richieda un approccio multiplo e sopratutto meno pigrizia, la strategia corretta è:
- Backup automatici regolari del DB possibilmente spediti per email su un proprio account e di cui si tiene un archivio vecchio anche di qualche settimana
- Backup o copia locale dei file e/o immagini caricate in modo da poterle ripristinare facilmente
- Aggiornamento del blog appena appare una versione nuova di WP, il continuo aggiornamento non ci esenta da problemi di sicurezza nuovi ma ci garantisce che le falle conosciute siano state chiuse, in ogni caso ogni provblema di sicureza recente è sempre stato corretto rapidamente solitamente nelle 24 ore successive alla scoperta, confermando quindi che l’aggiornamento continuo (ora sempliificato dal sistema automatico di aggiornamento) garantisce un elevata sicureza del proprio blog.
Quindi aggiornate, aggiornate, aggiornate… e non dite che non ve lo avevamo detto…
30 commenti su “Aggiornate, aggiornate, poi non dite che non ve lo avevamo detto”
Mario
6 Settembre 2009 at 10:25L’ho testato personalmente purtroppo.
Me ne sono reso conto quasi subito, quindi non penso di subire penalizzazioni in SERP.
Nel mio caso non ho trovato l’Admin aggiunto, solo gli URL riscritti (m’è bastato cambiare la struttura dei permalink e riportarla com’era prima).
Ho controllato l’FTP e il MySQL e non ho trovato nulla di anomalo.
Amici… aggiornate!!!
Frank
6 Settembre 2009 at 10:37Una mia amica si è ritrovata col blog infettato a quel modo (permalink alterati), gliel’ho sistemato rimuovendo l’utente “abusivo” dalla tabella wp_users e cancellando la schifezza aggiunta nel campo permalink_structure in wp_options.
Adesso sembra tutto in ordine.
A differenza di quanto ho visto in altri casi, nessun codice è stato aggiunto ai file del tema, nessun plugin maligno è stato installato o modificato.
In più ho aggiunto a .htaccess una serie di rewrite rules di base per la protezione dagli script, sono una sicurezza in più e penso che wordpress dovrebbe dare la possibilità di implementarle facilmente dal pannello di controllo…
nicolagreco
6 Settembre 2009 at 15:34Thanks to God, i use latest trunk, everywhere.
Davide
7 Settembre 2009 at 15:16Fortunatamente sono riuscito a risolvere tutto ripristinando il db con il backup che mi arriva ogni settimana sulla mail…
Ho fatto 3-4 infarti!!!
Ma come fanno a fare un attacco di massa del genere?
giulia
8 Settembre 2009 at 11:45un 15 giorni fa io ho avuto problemi perchè non riuscivo più ad accedere e avevo la versione 2.7, magari era qualche inizio di attacco, ho aggiornato con non poche difficoltà, adesso è tutto ok con la 2.8.4
grazie della segnalazione
Michele
8 Settembre 2009 at 12:41Grazie per le info, ma vurnerabilità non si puo’ proprio leggere. Per favore, correggi il prima possibile. 😉
Lillo
8 Settembre 2009 at 13:29Ciao dopo l’aggiormanento in admin mi da questo errore… potresti dirmi qualcosa?
Fatal error: Allowed memory size of 33554432 bytes exhausted (tried to allocate 30720 bytes) in /home/mhd-01/www.lillodipiazza.com/htdocs/wp-admin/includes/misc.php on line 555
volverine
8 Settembre 2009 at 13:39@Lillo
disabilita i plugin e poi riprova
Lillo
8 Settembre 2009 at 13:48Come li disattivo senza poter entrare nella pagina admin?
Michele
8 Settembre 2009 at 14:07@Lillo
Se hai un accesso FTP o comunque un file manager, non c’e’ problema. Ti basta rinominare qualcuna delle cartelle che trovi nella wp-content/plugins. Esempio: google-analyticator potrebbe diventare google-analyticator-inactive.
Lillo
8 Settembre 2009 at 14:21Ottimo adesso parte grazie mille 😀
Paolo
8 Settembre 2009 at 22:01Leggo nel blog di Lorelle che uno dei modi di evitare il worm (per chi non può aggiornare il suo blog per svariati motivi) è quello di proteggere con basic authentication la directory wp-admin. Non è chiaro però se l’affermazione è basata su rilevazioni reali oppure è soltanto un’ipotesi. Ne sapete qualcosa?
Stefano
8 Settembre 2009 at 22:35Anche a me su una versione 2.6 (non ho mai tempo di aggiornarla per la grande quantità di contenuti) è capitato questo attacco.
I permalink sono puliti, nessun codice strano. E’ stato solo creato l’utente amministratore nascosto che ho rimosso direttamente dal database. Non è stato creato nessun altro codice malevolo.
Alessio D'Ambrosio
9 Settembre 2009 at 14:33Nel blog aziendale sono riuscito a riparare all’hacking. Tempo di leggere l’annuncio e già mi avevano “forato”.
Cmq è stato semplice nel mio caso e mi ha aiutato il post di Frack.
e’ bastato:
1- andare su phpmyadmin
2- wp-option
3- riscrivere site url e cancellare il nome blog hackerato
in wp-user non avevo nessun nuovo account, così come nei link
Grazie!
Alessio
ric
9 Settembre 2009 at 15:40Io ho un blog installato automaticamente con Aruba.it, nel pannello di controllo di Aruba Gestione Applicazioni mi dice che non ci sono aggiornamenti per la piattaforma… il file leggimi dentro le cartelle parla della versione 2.8…
Mi sa che Aruba distribuisce gli aggiornamenti quando gli pare? L’avete mai usato?
Kamikaze
14 Ottobre 2009 at 12:23Devo aggiornare il sito Blog dal vecchio WP 2.1.2.
Quantunque semplice Subscriber sono la proprietaria del Dominio ed il precedente Admin era un Blogger che non si fa più trovare.
Mi sono intestata come Admin ma non ho l’accesso al Dashboard.
Se migro in WP 2.8 eredito le funzioni precedenti oppure posso modificare il mio ruolo e diventare Admin del Blog?
Quali consigli mi dareste?
Ciao a tutti Manu …
wolly
14 Ottobre 2009 at 16:10per le richieste di supporto c’è il forum
Alberto
14 Ottobre 2009 at 22:59A me capita che il sito mi dice che devo installare wordpress, ma wordpress c’è anche se non aggiornato: cosa devo fare?
Alberto
16 Ottobre 2009 at 00:06Tutto risolto, sistemato ed aggiornato all’ultima versione!
[…] in: Generale, WordPress – Old WordPress Versions Under Attack – How to Keep WordPress Secure – Aggiornate, aggiornate, poi non dite che non ve lo avevamo detto – WordPress Attack Underway: WordPress Users Must Upgrade [ALERT] – Security Threat: WordPress […]
[…] ha scritto un post ieri su come rendere sicuro wordpress e Steve ne ha scritto un altro su wordpress.it. Naviga nella Serie«All’Armi All’Armi 2 Tags: backup, Blog, compromissione, […]
[…] info sul blog di Lorelle o sul blog italiano di WordPress […]
[…] [Fonte: WordPress] […]
[…] WordPress-it.it […]
[…] | WordPress.it Altri articoli che potrebbero interessarti:Mozilla Firefox: ci avviserà se la versione di Adobe […]
[…] Dettagli su Lorelle on WordPress e WordPress-it.it. […]
[…] da conferma WordPress Italia in questo articolo: “Aggiornate, aggiornate, poi non dite che non ve lo avevamo detto” L’unica soluzione pare quella di aggiornare WordPress all’ultimissima versione ( 2.8.4) che […]
[…] Con la brutta stagione riprende l'attività di Habari e tornano gli articoli di Habariblog.it.Habari PartyQuesto fine settimana, da venerdì 11 a domenica 13, si terrà a Columbus, OH il primo Habari Party.Il programma prevede per oggi, venerdì, un incontro informale di un nucleo di sviluppatori, ospiti del cofondatore Scott Merrill: per molti sarà una prima occasione per conoscersi personalmente.Domani, sabato, la pattuglia si sposterà al Downtown Technology Center per l'evento vero e proprio. Alla mattina ed al pomeriggio si svolgeranno sei sessioni di incontri rivolti ad un pubblico competente o curioso. Alla sera, nello spirito del party, gli aspetti tecnici faranno spazio al ritrovo conviviale della comunità.Infine, domenica ci sarà tempo per altri incontri informali e per gli ultimi saluti.Habari Party sarà raccontato in diretta da Sean T. Evans su un blog dedicato e su Twitter.Su questa sponda dell'Atlantico, lo HUG tedesco ha organizzato un mini-raduno alla Unperfekthaus di Essen, nel Nord Reno – Vestfalia.Tutto il weekend sarà particolarmente attivo anche il canale #habari su IRC.Passa a Habari!Negli ultimi giorni il più famoso blog software, l'ottimo WordPress, è sotto attacco di cracker che sfruttano le sue vulnerabilità per prendere il controllo e defacciare siti in tutto il mondo. Ci sono state vittime illustri, anche in Italia.L'alternativa esiste. Quale migliore occasione per provare Habari? […]
[…] buona volontà, non ho voluto differire ancora l’aggiornamento di WordPress, specie dopo alcune preoccupanti letture. L’ormai vecchia versione 2.5 è stata così sostituita con successo dalla 2.8.4 nuova […]
[…] Zaccaro – via WordPress IT] Condividi […]