Qualche giorno fa vi ho parlato di un attacco ricevuto da un mio amico sul suo sito creato utilizzando l’ultima versione di wordpress disponibile in questo momento (2.9.2). Potete trovare l’articolo qui.
Nell’articolo inserisco anche il metodo provvisorio che si può utilizzare per evitare questa tipologia di attacchi… il metodo è stato direttamente ripreso dal sito del mio amico clshack.
Logicamente ho ringraziato cls che però mi ha detto che questo espediente funziona solo se l’attacco viene effettuato sulle pagine del sito (quelle caricate tramite il template) perché appunto si va a inserire il controllo nell’header del template.
Allora ho pensato… e se inseriamo il controllo all’interno di un plugin? in questo modo si può proteggere temporaneamente anche le altre aree del sito come script di login, registrazione etc e non bisogna preoccuparsi di inserire il controllo su ogni template che si usa.
Detto fatto ho preso e inserito la patch fornita da cls in un rudimentale plugin che potete trovare qui. (11/03 ho appena scoperto che il plugin da problemi durante la rimozione dello spam in quanto la stringa del request supera i 155 caratteri, si potrebbe ovviare al problema con un and al posto di un or ma non so se cosi facendo l’utilità del plugin verrebbe compromessa)

Speriamo solo che il prossimo aggiornamento di wordpress possa sistemare questa cosa.

Naturalmente non mi assumo nessuna responsabilità derivante dall’uso di questo plugin.

Be Sociable, Share!
Be Sociable, Share!