La società finlandese Klikki ha scovato un bug nel codice di WordPress 3, versione ampiamente superata dalle release più recenti del CMS più popolare, ma che continua a mettere a rischio un gran numero di siti. L’86 per cento di blog, portali e servizi basati su WordPress risulta potenzialmente affetto dal problema, dicono gli esperti.
L’origine del problema risiede nel sistema di commenti di WordPress, commenti che potrebbero contenere codice JavaScript (JS) malevolo e che nelle impostazioni di default del CMS vengono pubblicati in automatico senza filtri o controlli imposti da parte dell’amministratore.
Il codice JS potrebbe servire a compiere ogni genere di azione pericolosa per il sito sotto attacco, inclusa la creazione di un nuovo account admin e l’eliminazione delle possibilità di accesso al backend agli admin propriamente detti.
A quel punto tutto è possibile, inclusa l’eliminazione di ogni traccia di compromissione, l’aggiunta di codice PHP malevolo attraverso gli editor interni di WordPress (o direttamente da server nel caso in cui la compromissione riguardasse anche questo) e altro ancora. Diversamente dalla versione 3, WordPress 4.0 non è affetto dal baco.
WordPress è stata di recente afflitta da altri problemi di sicurezza , e non stupisce che, a poca distanza dalla distribuzione di WordPress 4.0, Automattic abbia rilasciato una nuova versione (4.0.1) contenente patch che mettono alla porta bug che possono dare origine a attacchi XSS (Cross-Site Scripting), basati su codice HTML malformato e a collisioni di hash potenzialmente sfruttabili per compromettere gli account utente.
Alfonso Maruccia
-
sembra estorsione
Io non lo trovo molto diverso dall'estorsione da parte della criminalità organizzata...bradipaoRe: sembra estorsione
- Scritto da: bradipao> Io non lo trovo molto diverso dall'estorsione da> parte della criminalità> organizzata...Non lo trovi diverso perchè non è diverso.La parte in cui ottengono un nome dall'IP senza averne diritto è terrificante: pensa cosa potrebbe fare uno stalker.OvvioRe: sembra estorsione
Questi non hanno ancora capito che ottenere il nome dell'intestatario non prova nulla, visto che potrebbe benissimo non essere stato lui.Il loro bel proXXXXX finisce quindi ancora prima di cominciare per insufficienza di prove.Per non contare poi i modi palesemente illeciti con cui ottengono i dati... le loro probabilità di sucXXXXX sono piuttosto basse....Re: sembra estorsione
Le linee telefoniche dovrebbero essere blindate sino a casa (tanto pe cominciare) ... in italia ci sono le cabine telefoniche chiuse con lo spago ...prove123Re: sembra estorsione
In italia quando indagano su queste cose, non danno per scontato che l'intestatario della linea sia anche colui che compie l'azione.Sg@bbioRe: sembra estorsione
- Scritto da: bradipao> Io non lo trovo molto diverso dall'estorsione da> parte della criminalità> organizzata...Useremo gli stessi metodi per difenderci.panda rossaRe: sembra estorsione
Ovvero?! Specifica cosa!-----------------------------------------------------------Modificato dall' autore il 26 novembre 2014 16.57-----------------------------------------------------------alroRe: sembra estorsione
Sei preoccupato? :Dprove123Re: sembra estorsione
Mi ricordo che più di una decina di anni fa arrivavano email "ci risulta dal suo IP che le usa il download accelerator ... bla bla bla ..." le uniche comunicazioni che valgono sono quelle su carta legale, per il resto devono dare conto di come hanno ottenuto l'indirizzo email che non gli è mai stato conXXXXX ...prove123Re: sembra estorsione
In italia qualcuno provo ha fare tale cosa come negli usa, ovvero rastrellare IP e chiedere soldi per evitare un proXXXXX.Sg@bbioRe: sembra estorsione
che figo !smarmadukRe: sembra estorsione
->Scritto da: bradipao>Io non lo trovo molto diverso dall'estorsione >da parte della criminalità organizzata...No aspetta in realtà è diverso, l' estorsione della criminalità organizzata è illegale, nel caso di Rightscorp invece no perché tutela/ta dal/la legge ;).Il PuntoRe: Azioni legali
- Scritto da: Terribile avvoltoio legale> Ottimo! Con queste azioni legali da una parte o> dall'altra ci sono sempre un bel po' di soldoni> da fare! Speriamo queste cose succedano in> Italia!> > Parola di terribile avvoltoio legaleMa come mai il linguaggio è molto simile a quello de La SIAE? Esempi:http://punto-informatico.it/b.aspx?i=3519171&m=3519249#p3519249http://punto-informatico.it/b.aspx?i=3096369&m=3096665#p3096665http://punto-informatico.it/b.aspx?i=3466313&m=3475956#p3475956LeguleioRe: Azioni legali
Forse per lo stesso motivo per il quale il tuo è simile a quello di "basta con la pirateria? (rotfl)basta conRe: Azioni legali
- Scritto da: basta con> Forse per lo stesso motivo per il quale il tuo è> simile a quello di "basta con la pirateria?> > (rotfl)Ma a lui lo pagano....Cioè almeno spero che lo paghino perchè altrimenti è da istituto.JollyRe: Azioni legali
->Scritto da: Terribile avvoltoio legale->>Scritto da: Leguleio>Ottimo! Con queste azioni legali da una parte o>dall'altra ci sono sempre un bel po' di soldoni>da fare! Speriamo queste cose succedano in>Italia!> >Parola di terribile avvoltoio legale>>>>Ma come mai il linguaggio è molto simile a quello de La SIAE? >>Esempi:>>>>http://punto-informatico.it/b.aspx?i=3519171&m=3519249#p3519249>>>>http://punto-informatico.it/b.aspx?i=3096369&m=3096665#p3096665>>>>http://punto-informatico.it/b.aspx?i=3466313&m=3475956#p3475956Più che un troll ora sembrerebbe un bot forse apposito per Punto Informatico.Il PuntoRe: Azioni legali
- Scritto da: Leguleio> - Scritto da: Terribile avvoltoio legale> > Ottimo! Con queste azioni legali da una> parte> o> > dall'altra ci sono sempre un bel po' di> soldoni> > da fare! Speriamo queste cose succedano in> > Italia!> > > > Parola di terribile avvoltoio legale> > > Ma come mai il linguaggio è molto simile a quello> de La SIAE?Similismo! Denunciazione! Chattavvocato! Ribaltamento di cabagigi! Insultamazione! Diffinuria! Sarcopantismo! Coprofagia!Ritrattazione! Ritrattazione!azioniRe: Azioni legali
- Scritto da: Leguleio> - Scritto da: Terribile avvoltoio legale> Ma come mai il linguaggio è molto simile a quello> de La SIAE?> Esempi:È la lingua degli avvoltoi.Simpatico falchetto illegaleRe: Azioni legali
Sarebbe la volta buona per decidermi a:trovare l'ip di chi appoggia questa estorsione e che scrive qui su PI ovviamente non tramite Tor.Trovare l'indirizzo del suddettoVenire sotto casa, far lavorare Kali per entrare nella Wifi (con schedina wifi comprata alla fiera elettronica e pure senza scontrino)Scaricare cose che voi umani non potreste mai scaricare (cinepanettoni e televendite, cult movie e concerti, documentari e software come piovesse)Inviare lettera anonima di antidenuncia agli estorsori poco prima di finire il download perfettoAttendere nel parcheggio che vengano a chiedere il 10% del pil nazionale come risarcimento al proprietario della wifiAssistere al tentativo di difesa "ma è stato qualcun'altro, la password era la targa della mia moto ma forse qualche acher l'ha scoperta"Si, direi che impegnerei molto del mio tempo solo per fare questo.Il reverendoRe: Azioni legali
che figo !smarmadukRe: Azioni legali
- Scritto da: Il reverendo> Sarebbe la volta buona per decidermi a:> trovare l'ip di chi appoggia questa estorsione e> che scrive qui su PI ovviamente non tramite> Tor.> Trovare l'indirizzo del suddetto> Venire sotto casa, far lavorare Kali per entrare> nella Wifi (con schedina wifi comprata alla fiera> elettronica e pure senza> scontrino)> Scaricare cose che voi umani non potreste mai> scaricare (cinepanettoni e televendite, cult> movie e concerti, documentari e software come> piovesse)> Inviare lettera anonima di antidenuncia agli> estorsori poco prima di finire il download> perfetto> Attendere nel parcheggio che vengano a chiedere> il 10% del pil nazionale come risarcimento al> proprietario della> wifi> Assistere al tentativo di difesa "ma è stato> qualcun'altro, la password era la targa della mia> moto ma forse qualche acher l'ha> scoperta"> > Si, direi che impegnerei molto del mio tempo solo> per fare> questo.Ok ! Good idea ! ;) ;) ;)E nel frattempo che tu cracchi e crocchi il WiFi dei bacchettoni io mi scarrico qualche film aggratisse dal redivivo demonoid p) e faccio il pieno di poppicorni (geek)Ciccio ScariconeRe: Azioni legali
- Scritto da: Il reverendo> Sarebbe la volta buona per decidermi a:> trovare l'ip di chi appoggia questa estorsione e> che scrive qui su PI ovviamente non tramite Tor.Tu non hai idea di quanta gente scriva qua tramite tor, ci sono direttamente gli script in giro per la rete per postare qua tramite tor :-o> Trovare l'indirizzo del suddetto Vediamo come si potrebbe fare... Beh dovresti bucarti il provider di PI non dovrebbe essere difficilissimo.> Venire sotto casa, far lavorare Kali per entrare> nella Wifi (con schedina wifi comprata alla fiera> elettronica e pure senza scontrino)> Scaricare cose che voi umani non potreste mai> scaricare (cinepanettoni e televendite, cult> movie e concerti, documentari e software come> piovesse)Ma a quel punto ti conviene fare MiM e succhiare dalla sua carta di credito no ?> Inviare lettera anonima di antidenuncia agli> estorsori poco prima di finire il download> perfettoSe il download non è concluso il file non è una prova.> Attendere nel parcheggio che vengano a chiedere> il 10% del pil nazionale come risarcimento al> proprietario della wifi> Assistere al tentativo di difesa "ma è stato> qualcun'altro, la password era la targa della mia> moto ma forse qualche acher l'ha scoperta"E visto che un giudice gli darebbe ragione, ti conviene aspirargli la CC.> Si, direi che impegnerei molto del mio tempo> solo per fare questo.Beh, facci sapere com'e' andata.StoriaRe: Azioni legali
- Scritto da: Storia> Tu non hai idea di quanta gente scriva qua> tramite tor, ci sono direttamente gli script in> giro per la rete per postare qua tramite tor > :-oVeramente il mio script dice solo di riavviare TOR quando l'IP è di quelli bannati dal T1000 ;)Per postare tramite TOR serve FoxyProxy (di modo che solo il posting sia tramite TOR e il sito non ne venga rallentato) ;)Luco, giudice di linea mancatoRe: Azioni legali
- Scritto da: Luco, giudice di linea mancato> - Scritto da: Storia> > Tu non hai idea di quanta gente scriva > > qua tramite tor, ci sono direttamente gli > > script in giro per la rete per postare qua > > tramite tor > > :-o> Veramente il mio script dice solo di riavviare> TOR quando l'IP è di quelli bannati dal T1000> ;)> Per postare tramite TOR serve FoxyProxy (di modo> che solo il posting sia tramite TOR e il sito non> ne venga rallentato)> ;)E fare un form che consenta di postare tramite tor sarebbe possibile secondo te ?NatalinoRe: Azioni legali
Se ne avesse idea ne avrebbe azzeccata almeno una invece non c'è una sola cosa sensata in quello che ha scritto.vultureRe: Azioni legali
- Scritto da: Luco, giudice di linea mancato> - Scritto da: Storia> > Tu non hai idea di quanta gente scriva qua> > tramite tor, ci sono direttamente gli script> in> > giro per la rete per postare qua tramite tor > > :-o> > Veramente il mio script dice solo di riavviare> TOR quando l'IP è di quelli bannati dal T1000> ;)> Per postare tramite TOR serve FoxyProxy (di modo> che solo il posting sia tramite TOR e il sito non> ne venga rallentato)> ;)E non si potrebbe fare un vero e proprio form tipo questo dove si scrive che passi attraverso tor ?NatalinoRe: Azioni legali
->Scritto da: Il reverendo>Sarebbe la volta buona per decidermi a:>trovare l'ip di chi appoggia questa estorsione >e che scrive qui su PI ovviamente non tramite Tor.Sarebbe sempre tempo perso, tanto ci sarà sempre qualche altro troll(o "diavoletto"( @^)... 8)) da strapazzo mandato dai vari enti(SIAE o chicchesia) pronto a fare disinformazione.-----------------------------------------------------------Modificato dall' autore il 28 novembre 2014 19.54-----------------------------------------------------------Il PuntoLo sciacallaggio.
Questo sciacallaggio viene praticato semplicemente con una variante "più tollerante" rispetto a un' altra davvero scabrosa e estorsiva:http://punto-informatico.it/3808861/PI/News/usa-infezione-del-copyright.aspx.E ci sono episodi di questo genere anche tralasciando il file sharing, ma sempre con lo stesso metodo più o meno:http://punto-informatico.it/3957548/PI/News/copyright-lettere-scandalose.aspx.Il PuntoGrazie, il tuo commento è in fase di approvazioneGrazie, il tuo commento è stato pubblicatoCommento non inviatoGrazie per esserti iscritto alla nostra newsletterOops, la registrazione alla newsletter non è andata a buon fine. Riprova.Leggi gli altri commentiPubblicato il 26 nov 2014Ti potrebbe interessare