Attacco hacker a WordPress. Soluzione per risolvere il problema di quel “base64_decode” e alcuni link utili.
La settimana scorsa ho dovuto attivarmi a causa di questo hack portato ai danni di WordPress (e purtroppo anche di questo blog). Ho cercato in lungo e in largo nella rete e ho risolto rapidamente, anche se non so se la soluzione durerà oppure no. Comunque ecco una procedura molto efficace anche se un po’ complessa da mettere in atto.
1) Nel pannello di amministrazione, andate alla voce “Permalink” e rimettete il segno di spunta sulla struttura che avevate scelto in origine.
2) Alla voce “Utenti” andate a vedere il conteggio degli amministratori. Se il numero indicato è superiore a quello effettivo degli utenti con tale privilegio, allora vi hanno aggiunto un utente amministratore che non potete vedere grazie a un codice Javascript aggiunto al nome utente (questa è una falla di wordpress).
Occorre quindi visualizzare il sorgente HTML della pagina su cui sono elencati gli utenti “Administrator” compreso quello invisibile che è tale solo in visualizzazione normale ma è presente nel sorgente.
3) Per fare ciò scegliete “Visualizza” – “Origine” dal menù di IE o voci simili sugli altri browser.
4) Cercate il termine “user_edit.php” nella pagina. Attenzione perchè ne avrete tanti quanti sono gli amministratori. Quindi N + 1 che corrisponde all’amministratore nascosto. Una volta trovato, cliccate su quel link (che sarà un po’ lunghetto…) questo vi porterà alla pagina di modifica di quell’utente.
5) A questo punto cambiategli il ruolo in “contributor” e cancellate il codice contenuto nel campo “Nome”, sostituendolo con “stronzo” o quello che vi pare.
6) Ritornate alla pagina degli utenti, selezionate quelli con il ruolo “contributor” e cancellate lo “stronzo” o quello che avete messo.
7) Via FTP andate nella root del blog e controllate che non ci siano file .php strani o sconosciuti ed eventualmente cancellateli (attenti a non cancellare file dell’installazione wordpress!!!)
8) Bloccate la funzione di iscrizione come utenti al blog
A questo punto non vi resta che aspettare una prossima release di WordPress (anche l’attuale, la 2.8.4 è infatti stata colpita da questo attacco). Se nelle modifiche compare la soluzione a questo hack allora aggiornate WordPress appena possibile.
Qui di seguito vi metto qualche link agli articoli originali.
4 Comments
Mitico! avevo praticamente tutti i blog infettati e con il tuo metodo ho risolto in un attimo!
Felice di essere stato utile! Ciao e grazie a te!
ciao, ti ringrazio anche io per il tuo articolo, vorrei chiederti solo una cosa, per root del sito web in pratica quale in quali cartelle devo controllare? grazie mille
Non so dove tu abbia il tuo sito e non conosco la sua struttura, ma comunque per root intendo quella cartella in cui, digitando l’url del tuo blog, va a finire il visitatore.
Nel caso di WordPress la cartella in questione è quella che contiene la cartella wp-admin, a meno che tu non abbia deciso in fase di installazione di mettere la root del blog in una posizione diversa dalla root d’installazione.
Sempre nel caso di wordpress, nel pannello di amministrazione la root di cui parlo è quella indicata nel quadro “Impostazioni” – “Generali” alla voce “Inidirizzo WordPress (URL)”. Spero di esserti stato utile.
Ciao!