WordPress hacked: eliminare l’amministratore nascosto

di MrFlock 4

Una falla di Wordpress permette a malintenzionati di registrarsi come Amministratori del sito... vediamo come scovarli ed eliminare questa seria minaccia....

Wordpress-Hacked

Siete sicuri di essere i veri possessori del vostro blog wordpress?

Prima di rispondere di si controllate nel pannello di controllo che il numero di amministratori corrisponda al vero. Mi spiego meglio: le versioni di wordpress precedenti alla 2.8.4 sono soggette ad un gravissimo bug che permette a chiunque abbastanza scaltro o abbastanza Str*#@$ di registrarsi al vostro sito come amministratore.

Il bello/brutto è che il suo account è nascosto e, nella lista degli amministratori esso non compare. Si nota solo che il numero degli amministratori è stranamente superiore di una unita rispetto a quanto dovrebbe essere.


Essendosi registrato come amministratore il personaggio può effettuare qualsiasi operazione esso voglia, dal cambio dei permalink all’inserimento di link nascosti a siti dai dubbi contenuti, rischiando ovviamente di essere penalizzati dal buon google.

Per riuscire a fare ciò questi personaggi semplicemente aggiungono uno script al nome che viene utilizzato per registrarsi ed esso, sfruttando una falla di wordpress possono assegnarsi il ruolo di amministratore.

Ma vediamo come fare se anche voi siete tra quei sfortunati / incauti possessori di blog che sono stati colpiti:

1) Accedete al vostro pannello di controllo ed andate in Utenti, cliccate sul link Amministratore per visualizzare in lista solo gli utenti con tale stato.

Si presuppone che abbiate già scoperto che il numero di amministratori che viene segnalato da wordpress non sia effettivamente quello che vi aspettavate.

1

2) Come vedete non si vede il nostro simpatico amico… eppure c’è! La sua invisibilità però può essere scoperta con relativa semplicità, col il vostro browser infatti potete vedere l’html della pagina dove tutto è visibile.

Generalmente trovate la funzione di visualizzazione html in: visualizza –> Sorgente pagina per Firefox e Visualizza –> Origine per gli utenti explorer.

3) Per semplicità copiatevi tutta la pagina ed incollate il codice in un qualsiasi editor html che abbia la funzione di anteprima. Io per esempio uso Dreamweaver e, una volta attivata l’anteprima della pagina ecco cosa mi appare:

2


Questo era il mio intruso…

Se non avete modo di recuperare un editor visuale, ricercate nel codice la parola user-edit.php. Dovrebbero essercene x+1 dove x è il numero di amministratori reali e quel 1 in più è l’ospite.

3) Ora per eliminare questo parassita bisogna prima di tutto modificare il suo stato:

Trovate l’indirizzo che corrisponde al link modifica del suo account, assomiglierà a questo:

user-edit.php?user_id=12&wp_http_referer=/wp-admin/users.php?role=administrator

copiatelo ed incollatelo nell’url in questo modo

www.NomeVostroSito.com/wp-admin/user-edit.php?user_id=12&wp_http_referer=/wp-admin/users.php?role=administrator

4) Vi si aprirà la pagina di account dell’intruso, modificate il suo tipo di account da Administrator a Contributor, inserite una mail fasulla, cambiate password con quella che volete e salvate.

5) Tornate alla pagina con la lista degli utenti ed ora cliccate sul pulsate elimina.

Alla richiesta dite di eliminate tutti gli articoli e i link inseriti da lui ed il gioco è fatto, il nostro intruso ora non c’è più.

6) Ora, se non lo avete ancora fatta fate un giro nelle opzioni e nel sito per controllare che tutto sia a posto e aggiornate al più presto e con assoluta costanza la versione del vostro wordpress.

a presto. MrFlock.

Commenti (4)

  1. Mi hai veramente salvato la vita con questo articolo: ero disperata!!!
    Grazie a te l’ho fatto fuori!!! ;-)
    GRAZIE!!!

  2. Ne sono veramente lieto e visto che per colpa di questo scherzetto ho passato un paio di giorni d’inferno ti consiglio di controllare uno a uno gli articoli per eventuali link “strani”… è un lavoraccio, se usufruisci di google webmaster hai il lavoro semplificato perchè li riconosce e te li segnala.. ciao!

Lascia un commento

Il tuo indirizzo email non verrà pubblicato.

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>