Problemi di sicurezza per le vecchie versioni di WordPress

di Fabrizio Sinopoli

scritto il

Problemi di sicurezza per i blog che utilizzano WordPress come piattaforma di blogging: tutti coloro che utilizzano una versione precedente alla 2.8.4 sono invitati ad aggiornare immediatamente all’ultima versione per evitare di restare vittima dell’attacco.

Immune, appunto, la versione 2.8.4 e tutti i blog ospitati su WordPress.com.

L’avvertimento è stato segnalato dal sito “Lorelle on WordPress” che ha dato notizia di una vulnerabilità nelle vecchie versioni del blog engine.

In pratica, sono due sintomi precisi:

  1. la creazione di un secondo utente amministratore, nascosto, riconoscibile nella lista degli utenti come “Administrator (2)” con cui è impossibile accedere e cancellare;
  2. la presenza nei permalink di stringhe del tipo example.com/category/post-title/%&(%7B$%7Beval(base64_decode($_SERVER%5BHTTP_REFERER%5D))%7D%7D|.+)&%/.

Una volta colpito il proprio blog, aggiornare all’ultima versione di WordPress non serve a nulla.

La soluzione in questo caso è la seguente:

  • esportare in dati in XML utilizzando le funzioni di export di WordPress;
  • installare l’ultima versione (2.8.4) di WordPress;
  • importare nel database i dati precedentemente esportati.

Quindi, se ancora non l’avete fatto, aggiornate WordPress all’ultima versione e continuate ad aggiornarla puntualmente, ogni volta che viene rilasciato un update. Solo in questo modo si può evitare di rimanere vittime di attacchi noti su vecchie versioni.