#Hacking di massa su molte installazioni #WordPress 4.7.0 e 4.7.1

#Hacking di massa su molte installazioni #WordPress 4.7.0 e 4.7.1

VegAmami!, uno dei blog che amministro, è stato un attimino hackerato (ma, davvero, non è colpa/mancanza mia)!!!

… Qui su laltroweb ho Wordfence, Cloudflare, Jetpack, ed ho un’installazione proprietaria che mi permette la totale personalizzazione e il pieno controllo (ftp, php.ini, ecc ecc).

Questo, inevitabilmente, si traduce in: installazione sempre aggiornata al massimo (nuova versione > aggiornamento praticamente immediato), backup sempre presente grazie a cpanel (importantissimo!!!!) = “sicurezza“. No more, no less 🙂

Il blog in oggetto, invece, è ospitato gratuitamente su AlterVista, freehost.

AlterVista va benissimo, sia chiaro, ma – in questo caso – se il sito è stato hackerato è colpa sua e del suo programma di aggiornamenti “rallentato”.

Su AlterVista, infatti, gli aggiornamenti di WordPress vengono rilasciati con un discreto posticipo e in casi simili può diventare un problema davvero importante!

 

Per adesso hanno inserito una pezza (no,m non hanno rilasciato l’aggiornamento alla 4.7.2 – han messo una pezza lato server)… Pezza che non funziona nel mio caso dato che la mia installazione è particolare (AlterBlog con VH ed altri pregi che, in effetti, rendono molto comoda e ospitale questa “casa”).

Così mi è toccato agire via htaccess:

RewriteEngine On
RewriteBase /

# BEGIN Block REST requests with 4.7.0 - 4.7.1 ?ID hack
RewriteCond %{QUERY_STRING} id= [NC]
RewriteRule ^wp-json/wp - [F,L,NC]
# END Block REST requests with 4.7.0 - 4.7.1 ?ID hack

 Adesso, aspettando che rilascino la versione 4.7.2, il blog è protetto.

 

Qui la segnalazione su AlterVista: ./261800-mi-hanno-hackerato-il-blog-aiutoooooo.html

 

Qui la discussione su WordPress: ./disclosure-of-additional-security-fix-in-wordpress-4-7-2/

 

Questo il report iniziale di Marc-Alexandre Montpas (scopritore della vulnerabilità): ./content-injection-vulnerability-wordpress-rest-api.html

Molte le critiche sul fatto che gli sviluppatori han tenuta nascosta questa vulnerabilità!

Ma loro dichiarano di averlo fatto solo per permettere alla maggiorparte dei blog – intanto – di aggiornarsi.

 

Se il mio blog non ha avuto problemi, credo di dover ringraziare Cloudflare e/o Wordfence:
l’aggiornamento alla 4.7.2 è stato fatto rapidamente da Wordfence e con la 4.7.2 il problema non si pone più.
E Cloudflare, se si prova ad eseguire l’url segnalato da Marc-Alexandre Montpas */wp-json/wp/v2/posts/1234?id=12345helloworld“, mi rimanda ad una pagina di blocco e mi impedisce di continuare! Insomma, uno dei due, a quanto pare, ha evitato modifiche non autorizzate (o magari, semplicemente, mi è andata bene)
😉

 

Voi avete avuto antipatiche sorprese?

Se sì, quanti post articoli/pagine han modificato?

In ogni caso, non temete! Per rimediare vi basterà ripristinare una copia valida dell’articolo, o della pagina, o direttamente del database!

L’attaccante, infatti, non ha trafugato alcun dato, né inserito alcuna shell. Ha semplicemente modificato un post (articolo o pagina).

Aggiornate il blog, ripristinate l’articolo, e tutto sarà risolto 🙂


Edit:

AlterVista ha provveduto a rilasciare la versione 4.7.2, quindi il problema è adesso risolto.
Il fix in .htaccess, invece, si è dimostrato inefficace (l’articolo su VegAmami era nuovamente modificato!).
Pazienza… Spero che, da adesso, con la 4.7.2, non ci saranno più problemi.

 




Lascia un commento

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.