Brutte notizie per i blogs basati sul CMS WordPress : da Sucuri e da Trend Micro arrivano notizie di un recente deface su decine e decine di blogs, hostati da Network Solutions. Ciò però non restringe il campo d’attacco ai SOLI blog hostati da Network Solutions, anzi. Il tutto sembra essere stato causato da un bug in un file di configurazione di WordPress (wp_config.php). Vediamo nel dettaglio come funziona.

L’attacco ai server di Network Solution, ci fa sapere il team di Trend Micro, è stato causato da un attacco SQL Injection, reso possibile da un problema al server stesso, probabilmente causato da alcuni plugin per WordPress buggati. Una volta ottenuto accesso al database, il file originale wp_config.php è stato sostituito con un wp_config.php taroccato con una modifica al tag siteurl : l’HTML che, di proposito,viene inserito al suo interno non viene interpretato correttamente e, di fatto, il blog in questione viene defacciato. Come è successo a Network Solutions, però, potrebbe succedere ad altri providers (il plugin provocatore non è stato ancora identificato e, poichè WordPress è open e chiunque può scrivere plugins ad-hoc, il campo di ricerca è molto,molto vasto), ragion per cui il mio consiglio è di correre immediatamente ai ripari (anche perchè la password del database, in wp_config.php, è rigorosamente IN CHIARO), nel seguente modo :

• Ripristinare il campo siteurl del vostro wp_config.php
• Creare immediatamente una copia di backup del database e salvarla fuori dal server
• Cambiare i permessi di wp_config.php a 750, così da impedirne la lettura (entrare con un qualsiasi client ftp sul server, portarsi nella directory che contiene wp_config.php e dare il comando chmod 750 wp_config.php )
• Cambiare la password del database
• Sostituire, nel tag DB_PASSWORD del file wp_config.php la nuova password
• Rimuovere l’accesso al blog ad utenti di dubbia provenienza