WordPress: una falla potrebbe mettere in pericolo il vostro blog!

Brutte notizie per i blogs basati sul CMS WordPress : da Sucuri e da Trend Micro arrivano notizie di un recente deface su decine e decine di blogs, hostati da Network Solutions. Ciò però non restringe il campo d’attacco ai SOLI blog hostati da Network Solutions, anzi. Il tutto sembra essere stato causato da un bug in un file di configurazione di WordPress (wp_config.php). Vediamo nel dettaglio come funziona.

L’attacco ai server di Network Solution, ci fa sapere il team di Trend Micro, è stato causato da un attacco SQL Injection, reso possibile da un problema al server stesso, probabilmente causato da alcuni plugin per WordPress buggati. Una volta ottenuto accesso al database, il file originale wp_config.php è stato sostituito con un wp_config.php taroccato con una modifica al tag siteurl : l’HTML che, di proposito,viene inserito al suo interno non viene interpretato correttamente e, di fatto, il blog in questione viene defacciato. Come è successo a Network Solutions, però, potrebbe succedere ad altri providers (il plugin provocatore non è stato ancora identificato e, poichè WordPress è open e chiunque può scrivere plugins ad-hoc, il campo di ricerca è molto,molto vasto), ragion per cui il mio consiglio è di correre immediatamente ai ripari (anche perchè la password del database, in wp_config.php, è rigorosamente IN CHIARO), nel seguente modo :

  • Ripristinare il campo siteurl del vostro wp_config.php
  • Creare immediatamente una copia di backup del database e salvarla fuori dal server
  • Cambiare i permessi di wp_config.php a 750, così da impedirne la lettura (entrare con un qualsiasi client ftp sul server, portarsi nella directory che contiene wp_config.php e dare il comando chmod 750 wp_config.php )
  • Cambiare la password del database
  • Sostituire, nel tag DB_PASSWORD del file wp_config.php la nuova password
  • Rimuovere l’accesso al blog ad utenti di dubbia provenienza

4 Commenti

  1. Jessica Lambiase

    @ov3rload
    Fosti facile profeta ov3rl1n0. Era nell’aria!

    Rispondi
  2. Chimera Revo

    @ov3rload
    Eh si… i plugin vanno sempre controllati e anche i permessi!

    Rispondi
  3. ov3rload

    Le mie ricerche ed i miei sospetti erano dunque fondati, il fatto è che un SQLi è possibile da più di un plugin quindi è impossibile concentrare la ricerca su di uno solo di essi.

    Rispondi

Rispondi