#Hacking di massa su molte installazioni #WordPress 4.7.0 e 4.7.1

#Hacking di massa su molte installazioni #WordPress 4.7.0 e 4.7.1

VegAmami!, uno dei blog che amministro, è stato un attimino hackerato (ma, davvero, non è colpa/mancanza mia)!!!

… Qui su laltroweb ho Wordfence, Cloudflare, Jetpack, ed ho un’installazione proprietaria che mi permette la totale personalizzazione e il pieno controllo (ftp, php.ini, ecc ecc).

Questo, inevitabilmente, si traduce in: installazione sempre aggiornata al massimo (nuova versione > aggiornamento praticamente immediato), backup sempre presente grazie a cpanel (importantissimo!!!!) = “sicurezza“. No more, no less 🙂

Il blog in oggetto, invece, è ospitato gratuitamente su AlterVista, freehost.

AlterVista va benissimo, sia chiaro, ma – in questo caso – se il sito è stato hackerato è colpa sua e del suo programma di aggiornamenti “rallentato”.

Su AlterVista, infatti, gli aggiornamenti di WordPress vengono rilasciati con un discreto posticipo e in casi simili può diventare un problema davvero importante!

 

Per adesso hanno inserito una pezza (no,m non hanno rilasciato l’aggiornamento alla 4.7.2 – han messo una pezza lato server)… Pezza che non funziona nel mio caso dato che la mia installazione è particolare (AlterBlog con VH ed altri pregi che, in effetti, rendono molto comoda e ospitale questa “casa”).

Così mi è toccato agire via htaccess:

RewriteEngine On
RewriteBase /

# BEGIN Block REST requests with 4.7.0 - 4.7.1 ?ID hack
RewriteCond %{QUERY_STRING} id= [NC]
RewriteRule ^wp-json/wp - [F,L,NC]
# END Block REST requests with 4.7.0 - 4.7.1 ?ID hack

 Adesso, aspettando che rilascino la versione 4.7.2, il blog è protetto.

 

Qui la segnalazione su AlterVista: ./261800-mi-hanno-hackerato-il-blog-aiutoooooo.html

 

Qui la discussione su WordPress: ./disclosure-of-additional-security-fix-in-wordpress-4-7-2/

 

Questo il report iniziale di Marc-Alexandre Montpas (scopritore della vulnerabilità): ./content-injection-vulnerability-wordpress-rest-api.html

Molte le critiche sul fatto che gli sviluppatori han tenuta nascosta questa vulnerabilità!

Ma loro dichiarano di averlo fatto solo per permettere alla maggiorparte dei blog – intanto – di aggiornarsi.

 

Se il mio blog non ha avuto problemi, credo di dover ringraziare Cloudflare e/o Wordfence:
l’aggiornamento alla 4.7.2 è stato fatto rapidamente da Wordfence e con la 4.7.2 il problema non si pone più.
E Cloudflare, se si prova ad eseguire l’url segnalato da Marc-Alexandre Montpas */wp-json/wp/v2/posts/1234?id=12345helloworld“, mi rimanda ad una pagina di blocco e mi impedisce di continuare! Insomma, uno dei due, a quanto pare, ha evitato modifiche non autorizzate (o magari, semplicemente, mi è andata bene)
😉

 

Voi avete avuto antipatiche sorprese?

Se sì, quanti post articoli/pagine han modificato?

In ogni caso, non temete! Per rimediare vi basterà ripristinare una copia valida dell’articolo, o della pagina, o direttamente del database!

L’attaccante, infatti, non ha trafugato alcun dato, né inserito alcuna shell. Ha semplicemente modificato un post (articolo o pagina).

Aggiornate il blog, ripristinate l’articolo, e tutto sarà risolto 🙂


Edit:

AlterVista ha provveduto a rilasciare la versione 4.7.2, quindi il problema è adesso risolto.
Il fix in .htaccess, invece, si è dimostrato inefficace (l’articolo su VegAmami era nuovamente modificato!).
Pazienza… Spero che, da adesso, con la 4.7.2, non ci saranno più problemi.

 




Lascia un commento