WordPress e i commenti malevoli

La società finlandese Klikki ha scovato un bug nel codice di WordPress 3, versione ampiamente superata dalle release più recenti del CMS più popolare, ma che continua a mettere a rischio un gran numero di siti. L’86 per cento di blog, portali e servizi basati su WordPress risulta potenzialmente affetto dal problema, dicono gli esperti.

L’origine del problema risiede nel sistema di commenti di WordPress, commenti che potrebbero contenere codice JavaScript (JS) malevolo e che nelle impostazioni di default del CMS vengono pubblicati in automatico senza filtri o controlli imposti da parte dell’amministratore.

Il codice JS potrebbe servire a compiere ogni genere di azione pericolosa per il sito sotto attacco, inclusa la creazione di un nuovo account admin e l’eliminazione delle possibilità di accesso al backend agli admin propriamente detti.

A quel punto tutto è possibile, inclusa l’eliminazione di ogni traccia di compromissione, l’aggiunta di codice PHP malevolo attraverso gli editor interni di WordPress (o direttamente da server nel caso in cui la compromissione riguardasse anche questo) e altro ancora. Diversamente dalla versione 3, WordPress 4.0 non è affetto dal baco.

WordPress è stata di recente afflitta da altri problemi di sicurezza , e non stupisce che, a poca distanza dalla distribuzione di WordPress 4.0, Automattic abbia rilasciato una nuova versione (4.0.1) contenente patch che mettono alla porta bug che possono dare origine a attacchi XSS (Cross-Site Scripting), basati su codice HTML malformato e a collisioni di hash potenzialmente sfruttabili per compromettere gli account utente.

Alfonso Maruccia

sembra estorsione
Io non lo trovo molto diverso dall'estorsione da parte della criminalità organizzata...

bradipao

Rispondi
Re: sembra estorsione
- Scritto da: bradipao> Io non lo trovo molto diverso dall'estorsione da> parte della criminalità> organizzata...Non lo trovi diverso perchè non è diverso.La parte in cui ottengono un nome dall'IP senza averne diritto è terrificante: pensa cosa potrebbe fare uno stalker.

Ovvio

Quote
Re: sembra estorsione
Questi non hanno ancora capito che ottenere il nome dell'intestatario non prova nulla, visto che potrebbe benissimo non essere stato lui.Il loro bel proXXXXX finisce quindi ancora prima di cominciare per insufficienza di prove.Per non contare poi i modi palesemente illeciti con cui ottengono i dati... le loro probabilità di sucXXXXX sono piuttosto basse.

...

Quote
Re: sembra estorsione
Le linee telefoniche dovrebbero essere blindate sino a casa (tanto pe cominciare) ... in italia ci sono le cabine telefoniche chiuse con lo spago ...

prove123

Quote
Re: sembra estorsione
In italia quando indagano su queste cose, non danno per scontato che l'intestatario della linea sia anche colui che compie l'azione.

Sg@bbio

Quote
Re: sembra estorsione
- Scritto da: bradipao> Io non lo trovo molto diverso dall'estorsione da> parte della criminalità> organizzata...Useremo gli stessi metodi per difenderci.

panda rossa

Quote
Re: sembra estorsione
Ovvero?! Specifica cosa!-----------------------------------------------------------Modificato dall' autore il 26 novembre 2014 16.57-----------------------------------------------------------

alro

Quote
Re: sembra estorsione
Sei preoccupato? :D

prove123

Quote
Re: sembra estorsione
Mi ricordo che più di una decina di anni fa arrivavano email "ci risulta dal suo IP che le usa il download accelerator ... bla bla bla ..." le uniche comunicazioni che valgono sono quelle su carta legale, per il resto devono dare conto di come hanno ottenuto l'indirizzo email che non gli è mai stato conXXXXX ...

prove123

Quote
Re: sembra estorsione
In italia qualcuno provo ha fare tale cosa come negli usa, ovvero rastrellare IP e chiedere soldi per evitare un proXXXXX.

Sg@bbio

Quote
Re: sembra estorsione
che figo !

smarmaduk

Quote
Re: sembra estorsione
->Scritto da: bradipao>Io non lo trovo molto diverso dall'estorsione >da parte della criminalità organizzata...No aspetta in realtà è diverso, l' estorsione della criminalità organizzata è illegale, nel caso di Rightscorp invece no perché tutela/ta dal/la legge ;).

Il Punto

Quote
Re: Azioni legali
- Scritto da: Terribile avvoltoio legale> Ottimo! Con queste azioni legali da una parte o> dall'altra ci sono sempre un bel po' di soldoni> da fare! Speriamo queste cose succedano in> Italia!> > Parola di terribile avvoltoio legaleMa come mai il linguaggio è molto simile a quello de La SIAE? Esempi:http://punto-informatico.it/b.aspx?i=3519171&m=3519249#p3519249http://punto-informatico.it/b.aspx?i=3096369&m=3096665#p3096665http://punto-informatico.it/b.aspx?i=3466313&m=3475956#p3475956

Leguleio

Rispondi
Re: Azioni legali
Forse per lo stesso motivo per il quale il tuo è simile a quello di "basta con la pirateria? (rotfl)

basta con

Quote
Re: Azioni legali
- Scritto da: basta con> Forse per lo stesso motivo per il quale il tuo è> simile a quello di "basta con la pirateria?> > (rotfl)Ma a lui lo pagano....Cioè almeno spero che lo paghino perchè altrimenti è da istituto.

Jolly

Quote
Re: Azioni legali
->Scritto da: Terribile avvoltoio legale->>Scritto da: Leguleio>Ottimo! Con queste azioni legali da una parte o>dall'altra ci sono sempre un bel po' di soldoni>da fare! Speriamo queste cose succedano in>Italia!> >Parola di terribile avvoltoio legale>>>>Ma come mai il linguaggio è molto simile a quello de La SIAE? >>Esempi:>>>>http://punto-informatico.it/b.aspx?i=3519171&m=3519249#p3519249>>>>http://punto-informatico.it/b.aspx?i=3096369&m=3096665#p3096665>>>>http://punto-informatico.it/b.aspx?i=3466313&m=3475956#p3475956Più che un troll ora sembrerebbe un bot forse apposito per Punto Informatico.

Il Punto

Quote
Re: Azioni legali
- Scritto da: Leguleio> - Scritto da: Terribile avvoltoio legale> > Ottimo! Con queste azioni legali da una> parte> o> > dall'altra ci sono sempre un bel po' di> soldoni> > da fare! Speriamo queste cose succedano in> > Italia!> > > > Parola di terribile avvoltoio legale> > > Ma come mai il linguaggio è molto simile a quello> de La SIAE?Similismo! Denunciazione! Chattavvocato! Ribaltamento di cabagigi! Insultamazione! Diffinuria! Sarcopantismo! Coprofagia!Ritrattazione! Ritrattazione!

azioni

Quote
Re: Azioni legali
- Scritto da: Leguleio> - Scritto da: Terribile avvoltoio legale> Ma come mai il linguaggio è molto simile a quello> de La SIAE?> Esempi:È la lingua degli avvoltoi.

Simpatico falchetto illegale

Quote
Re: Azioni legali
Sarebbe la volta buona per decidermi a:trovare l'ip di chi appoggia questa estorsione e che scrive qui su PI ovviamente non tramite Tor.Trovare l'indirizzo del suddettoVenire sotto casa, far lavorare Kali per entrare nella Wifi (con schedina wifi comprata alla fiera elettronica e pure senza scontrino)Scaricare cose che voi umani non potreste mai scaricare (cinepanettoni e televendite, cult movie e concerti, documentari e software come piovesse)Inviare lettera anonima di antidenuncia agli estorsori poco prima di finire il download perfettoAttendere nel parcheggio che vengano a chiedere il 10% del pil nazionale come risarcimento al proprietario della wifiAssistere al tentativo di difesa "ma è stato qualcun'altro, la password era la targa della mia moto ma forse qualche acher l'ha scoperta"Si, direi che impegnerei molto del mio tempo solo per fare questo.

Il reverendo

Rispondi
Re: Azioni legali
che figo !

smarmaduk

Quote
Re: Azioni legali
- Scritto da: Il reverendo> Sarebbe la volta buona per decidermi a:> trovare l'ip di chi appoggia questa estorsione e> che scrive qui su PI ovviamente non tramite> Tor.> Trovare l'indirizzo del suddetto> Venire sotto casa, far lavorare Kali per entrare> nella Wifi (con schedina wifi comprata alla fiera> elettronica e pure senza> scontrino)> Scaricare cose che voi umani non potreste mai> scaricare (cinepanettoni e televendite, cult> movie e concerti, documentari e software come> piovesse)> Inviare lettera anonima di antidenuncia agli> estorsori poco prima di finire il download> perfetto> Attendere nel parcheggio che vengano a chiedere> il 10% del pil nazionale come risarcimento al> proprietario della> wifi> Assistere al tentativo di difesa "ma è stato> qualcun'altro, la password era la targa della mia> moto ma forse qualche acher l'ha> scoperta"> > Si, direi che impegnerei molto del mio tempo solo> per fare> questo.Ok ! Good idea ! ;) ;) ;)E nel frattempo che tu cracchi e crocchi il WiFi dei bacchettoni io mi scarrico qualche film aggratisse dal redivivo demonoid p) e faccio il pieno di poppicorni (geek)

Ciccio Scaricone

Quote
Re: Azioni legali
- Scritto da: Il reverendo> Sarebbe la volta buona per decidermi a:> trovare l'ip di chi appoggia questa estorsione e> che scrive qui su PI ovviamente non tramite Tor.Tu non hai idea di quanta gente scriva qua tramite tor, ci sono direttamente gli script in giro per la rete per postare qua tramite tor :-o> Trovare l'indirizzo del suddetto Vediamo come si potrebbe fare... Beh dovresti bucarti il provider di PI non dovrebbe essere difficilissimo.> Venire sotto casa, far lavorare Kali per entrare> nella Wifi (con schedina wifi comprata alla fiera> elettronica e pure senza scontrino)> Scaricare cose che voi umani non potreste mai> scaricare (cinepanettoni e televendite, cult> movie e concerti, documentari e software come> piovesse)Ma a quel punto ti conviene fare MiM e succhiare dalla sua carta di credito no ?> Inviare lettera anonima di antidenuncia agli> estorsori poco prima di finire il download> perfettoSe il download non è concluso il file non è una prova.> Attendere nel parcheggio che vengano a chiedere> il 10% del pil nazionale come risarcimento al> proprietario della wifi> Assistere al tentativo di difesa "ma è stato> qualcun'altro, la password era la targa della mia> moto ma forse qualche acher l'ha scoperta"E visto che un giudice gli darebbe ragione, ti conviene aspirargli la CC.> Si, direi che impegnerei molto del mio tempo> solo per fare questo.Beh, facci sapere com'e' andata.

Storia

Quote
Re: Azioni legali
- Scritto da: Storia> Tu non hai idea di quanta gente scriva qua> tramite tor, ci sono direttamente gli script in> giro per la rete per postare qua tramite tor > :-oVeramente il mio script dice solo di riavviare TOR quando l'IP è di quelli bannati dal T1000 ;)Per postare tramite TOR serve FoxyProxy (di modo che solo il posting sia tramite TOR e il sito non ne venga rallentato) ;)

Luco, giudice di linea mancato

Quote
Re: Azioni legali
- Scritto da: Luco, giudice di linea mancato> - Scritto da: Storia> > Tu non hai idea di quanta gente scriva > > qua tramite tor, ci sono direttamente gli > > script in giro per la rete per postare qua > > tramite tor > > :-o> Veramente il mio script dice solo di riavviare> TOR quando l'IP è di quelli bannati dal T1000> ;)> Per postare tramite TOR serve FoxyProxy (di modo> che solo il posting sia tramite TOR e il sito non> ne venga rallentato)> ;)E fare un form che consenta di postare tramite tor sarebbe possibile secondo te ?

Natalino

Quote
Re: Azioni legali
Se ne avesse idea ne avrebbe azzeccata almeno una invece non c'è una sola cosa sensata in quello che ha scritto.

vulture

Quote
Re: Azioni legali
- Scritto da: Luco, giudice di linea mancato> - Scritto da: Storia> > Tu non hai idea di quanta gente scriva qua> > tramite tor, ci sono direttamente gli script> in> > giro per la rete per postare qua tramite tor > > :-o> > Veramente il mio script dice solo di riavviare> TOR quando l'IP è di quelli bannati dal T1000> ;)> Per postare tramite TOR serve FoxyProxy (di modo> che solo il posting sia tramite TOR e il sito non> ne venga rallentato)> ;)E non si potrebbe fare un vero e proprio form tipo questo dove si scrive che passi attraverso tor ?

Natalino

Quote
Re: Azioni legali
->Scritto da: Il reverendo>Sarebbe la volta buona per decidermi a:>trovare l'ip di chi appoggia questa estorsione >e che scrive qui su PI ovviamente non tramite Tor.Sarebbe sempre tempo perso, tanto ci sarà sempre qualche altro troll(o "diavoletto"( @^)... 8)) da strapazzo mandato dai vari enti(SIAE o chicchesia) pronto a fare disinformazione.-----------------------------------------------------------Modificato dall' autore il 28 novembre 2014 19.54-----------------------------------------------------------

Il Punto

Quote
Lo sciacallaggio.
Questo sciacallaggio viene praticato semplicemente con una variante "più tollerante" rispetto a un' altra davvero scabrosa e estorsiva:http://punto-informatico.it/3808861/PI/News/usa-infezione-del-copyright.aspx.E ci sono episodi di questo genere anche tralasciando il file sharing, ma sempre con lo stesso metodo più o meno:http://punto-informatico.it/3957548/PI/News/copyright-lettere-scandalose.aspx.

Il Punto

Rispondi

Annulla

Stai citando questo messaggio:

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicata. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy.
Pubblicando questo commento dai il consenso affinché un cookie salvi i tuoi dati (nome, email, sito web) per il prossimo commento.

Iscrivimi alla newsletter gratuita di Punto Informatico Tutte le mattine direttamente nella tua casella email tutte le novità del mondo digitale e tech