Allarme rosso per la sicurezza delle installazioni WordPress non aggiornate: un worm sconosciuto è in piena fase di diffusione a causa di una vulnerabilità nel CMS scoperta l’11 agosto scorso, si nasconde abilmente agli occhi dell’utente/webmaster e abusa in maniera non vistosa del blog attaccato. L’obiettivo del codice malevolo? Rimpinzare di messaggi di spam i vecchi post per generare quattrini senza dar troppo nell’occhio.
Il pericolo interessa le versioni di WordPress precedenti alla 2.8.3, ed è particolarmente grave in virtù del fatto che il software viene utilizzato da più di 5 milioni di siti web inclusi popolari network come TechCrunch , Gawker e altri. Risultano invece immuni tutti i blog ospitati sulla piattaforma wordpress.com grazie alla politica di upgrade automatico del codice backend .
Come spiega il celebre blog Lorelle on WordPress , sono due i segni indicatori del fatto che il proprio sito sia caduto vittima dell’attacco, in particolare la presenza di stringhe di codice anormale all’interno dei permalink ai post contenenti le keyword “eval” e “base64_decode”, e l’installazione di una “backdoor” corrispondente a un utente con privilegi di amministratore elencato nella dashboard a cui è impossibile accedere dal proprio account di admin.
Matt Mullenweg, fondatore di WordPress, spiega sul blog ufficiale che il worm “è abile: registra un utente, usa un bug (già sistemato in precedenza) in modo da permettere l’esecuzione di codice attraverso la struttura dei permalink, si autoproclama admin, poi usa codice JavaScript per nascondersi quando si accede alla pagina degli utenti (…), e diventa silenzioso in modo da non far notare l’aggiunta di spam e malware all’interno dei vecchi post”.
Se le misure preventive più efficaci prevedono l’upgrade immediato del codice del sito all’ ultima versione disponibile di WordPress (la 2.8.4) e il cambiamento di tutte le password del sito (inclusi accesso alla dashboard di controllo del sito e a tutti gli utenti, database, account FTP, eventuali pannelli di controllo forniti dall’host web e tutto il resto), una volta che si risulti infetti l’unica cosa da fare è esportare i contenuti del blog attraverso l’ exporter XML integrato in WordPress (e relativi file accessori come immagini e download) prima di radere completamente al suolo l’installazione infetta e sostituirla con una aggiornata .
Qualunque sia il motivo che ha sin qui spinto un utente/webmaster a non fare upgrade, consiglia ancora Lorelle, questo incidente è sufficientemente grave da far passare tutto in secondo piano rispetto all’aggiornamento della piattaforma CMS.
Alfonso Maruccia
Ti potrebbe interessare
7 set 2009