[Sicurezza] Exploit per Wordpress 2.5.1

Se non erro la 2.5.1 dovrebbe essere l'ultima release del celebre CMS. Ma questo exploit dovrebbe in teoria funzionare per tutte le versioni, basandosi sui permessi delle directory dei plugin installati.

Ebbene qualche giorno fa alcuni cracker (o lamer, come preferite) siriani hanno sfruttato una falla di sicurezza dovuta ai permessi delle directory dei plugin di Wordpress (Akismet ed Hello dolly, i più famosi) su Linux Feed, blog del mio collega di lavoro e di banco Andrea. Segue quanto riferisce Andrea:

Il problema stava nel fatto che gli utilizzatori di wordpress spesso lasciano le directory dei plugins e dei template con i permessi settati a 777, in modo da poter modificare tali files direttamente dalla piattaforma [ndA il pannello di controllo per la gestione dei temi]. Questo, tuttavia, permette ai cracker di scrivere su tali files.

Nel nostro particolare caso, i cracker, sono andati a colpo sicuro, cercando i due plugins di default installati con wp, ovvero akismet e hello dolly. Entrambi i files sono stati modificati, inserendo il loro codice.

Essendo akismet incluso ovunque ecco il defacciamento completo del sito.

Quindi il problema NON risiede in Wordpress, ma nei permessi dei files relativi ai plugin.

Fonte: Inside the World

11:55 | Categorie: , |

This entry was posted on 11:55 and is filed under Sicurezza , wordpress . You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.

 

0 comments:

Posta un commento

Iscriviti a: Commenti sul post (Atom)

Byte Strike Blog - Designed by Posicionamiento Web | Bloggerized by GosuBlogger