Qualche giorno fa vi ho parlato di un attacco ricevuto da un mio amico sul suo sito creato utilizzando l’ultima versione di wordpress disponibile in questo momento (2.9.2). Potete trovare l’articolo qui.
Nell’articolo inserisco anche il metodo provvisorio che si può utilizzare per evitare questa tipologia di attacchi… il metodo è stato direttamente ripreso dal sito del mio amico clshack.
Logicamente ho ringraziato cls che però mi ha detto che questo espediente funziona solo se l’attacco viene effettuato sulle pagine del sito (quelle caricate tramite il template) perché appunto si va a inserire il controllo nell’header del template.
Allora ho pensato… e se inseriamo il controllo all’interno di un plugin? Leggi il resto…

Be Sociable, Share!

• 

Già da ieri il mio amico clshack aveva pubblicato un articolo tramite il quale ci informava che la sua installazione di wp 2.9.2 era stata attaccata da uno spiderbot che tramite una falla dell’ultima versione di wp (ancora non si sà molto in merito) era riuscito ad inniettare del codice all’interno del file wp-config.php che provocava il redirect del visitatore verso un altro sito.
Oggi tramite un nuovo articolo che potete trovare qui fa luce sul meccanismo utilizzato durante l’attacco e per nostra fortuna ci suggerisce un workaround per impedire che anche il nostro sito venga bucato tramite questo espediente. Ripropongo lo snippet di codice qui per comodità ma vi suggerisco di leggere l’articolo di clshack che è molto più esaustivo. Leggi il resto…

Be Sociable, Share!

•