VegAmami!, uno dei blog che amministro, è stato un attimino hackerato (ma, davvero, non è colpa/mancanza mia)!!!
… Qui su laltroweb ho Wordfence, Cloudflare, Jetpack, ed ho un’installazione proprietaria che mi permette la totale personalizzazione e il pieno controllo (ftp, php.ini, ecc ecc).
Questo, inevitabilmente, si traduce in: installazione sempre aggiornata al massimo (nuova versione > aggiornamento praticamente immediato), backup sempre presente grazie a cpanel (importantissimo!!!!) = “sicurezza“. No more, no less 🙂
Il blog in oggetto, invece, è ospitato gratuitamente su AlterVista, freehost.
AlterVista va benissimo, sia chiaro, ma – in questo caso – se il sito è stato hackerato è colpa sua e del suo programma di aggiornamenti “rallentato”.
Su AlterVista, infatti, gli aggiornamenti di WordPress vengono rilasciati con un discreto posticipo e in casi simili può diventare un problema davvero importante!
Per adesso hanno inserito una pezza (no,m non hanno rilasciato l’aggiornamento alla 4.7.2 – han messo una pezza lato server)… Pezza che non funziona nel mio caso dato che la mia installazione è particolare (AlterBlog con VH ed altri pregi che, in effetti, rendono molto comoda e ospitale questa “casa”).
Così mi è toccato agire via htaccess:
RewriteEngine On
RewriteBase /
# BEGIN Block REST requests with 4.7.0 - 4.7.1 ?ID hack
RewriteCond %{QUERY_STRING} id= [NC]
RewriteRule ^wp-json/wp - [F,L,NC]
# END Block REST requests with 4.7.0 - 4.7.1 ?ID hack
Adesso, aspettando che rilascino la versione 4.7.2, il blog è protetto.
Qui la segnalazione su AlterVista: ./261800-mi-hanno-hackerato-il-blog-aiutoooooo.html
Qui la discussione su WordPress: ./disclosure-of-additional-security-fix-in-wordpress-4-7-2/
Questo il report iniziale di Marc-Alexandre Montpas (scopritore della vulnerabilità): ./content-injection-vulnerability-wordpress-rest-api.html
—
Molte le critiche sul fatto che gli sviluppatori han tenuta nascosta questa vulnerabilità!
Ma loro dichiarano di averlo fatto solo per permettere alla maggiorparte dei blog – intanto – di aggiornarsi.
Se il mio blog non ha avuto problemi, credo di dover ringraziare Cloudflare e/o Wordfence:
l’aggiornamento alla 4.7.2 è stato fatto rapidamente da Wordfence e con la 4.7.2 il problema non si pone più.
E Cloudflare, se si prova ad eseguire l’url segnalato da Marc-Alexandre Montpas “*/wp-json/wp/v2/posts/1234?id=12345helloworld“, mi rimanda ad una pagina di blocco e mi impedisce di continuare! Insomma, uno dei due, a quanto pare, ha evitato modifiche non autorizzate (o magari, semplicemente, mi è andata bene) 😉
Voi avete avuto antipatiche sorprese?
Se sì, quanti post articoli/pagine han modificato?
In ogni caso, non temete! Per rimediare vi basterà ripristinare una copia valida dell’articolo, o della pagina, o direttamente del database!
L’attaccante, infatti, non ha trafugato alcun dato, né inserito alcuna shell. Ha semplicemente modificato un post (articolo o pagina).
Aggiornate il blog, ripristinate l’articolo, e tutto sarà risolto 🙂
Edit:
AlterVista ha provveduto a rilasciare la versione 4.7.2, quindi il problema è adesso risolto.
Il fix in .htaccess, invece, si è dimostrato inefficace (l’articolo su VegAmami era nuovamente modificato!).
Pazienza… Spero che, da adesso, con la 4.7.2, non ci saranno più problemi.