La società finlandese Klikki ha scovato un bug nel codice di WordPress 3, versione ampiamente superata dalle release più recenti del CMS più popolare, ma che continua a mettere a rischio un gran numero di siti. L’86 per cento di blog, portali e servizi basati su WordPress risulta potenzialmente affetto dal problema, dicono gli esperti.
L’origine del problema risiede nel sistema di commenti di WordPress, commenti che potrebbero contenere codice JavaScript (JS) malevolo e che nelle impostazioni di default del CMS vengono pubblicati in automatico senza filtri o controlli imposti da parte dell’amministratore.
Il codice JS potrebbe servire a compiere ogni genere di azione pericolosa per il sito sotto attacco, inclusa la creazione di un nuovo account admin e l’eliminazione delle possibilità di accesso al backend agli admin propriamente detti.
A quel punto tutto è possibile, inclusa l’eliminazione di ogni traccia di compromissione, l’aggiunta di codice PHP malevolo attraverso gli editor interni di WordPress (o direttamente da server nel caso in cui la compromissione riguardasse anche questo) e altro ancora. Diversamente dalla versione 3, WordPress 4.0 non è affetto dal baco.
WordPress è stata di recente afflitta da altri problemi di sicurezza , e non stupisce che, a poca distanza dalla distribuzione di WordPress 4.0, Automattic abbia rilasciato una nuova versione (4.0.1) contenente patch che mettono alla porta bug che possono dare origine a attacchi XSS (Cross-Site Scripting), basati su codice HTML malformato e a collisioni di hash potenzialmente sfruttabili per compromettere gli account utente.
Alfonso Maruccia
leggi i 33 commenti
-
Lo sciacallaggio.
Questo sciacallaggio viene praticato semplicemente con una variante "più tollerante" rispetto a un' altra davvero scabrosa e estorsiva:http://punto-informatico.it/3808861/PI/News/usa-infezione-del-copyright.aspx.E ci sono episodi di questo genere anche tralasciando il file sharing, ma sempre con lo stesso metodo più o meno:http://punto-informatico.it/3957548/PI/News/copyright-lettere-scandalose.aspx. -
Re: Azioni legali
Sarebbe la volta buona per decidermi a:trovare l'ip di chi appoggia questa estorsione e che scrive qui su PI ovviamente non tramite Tor.Trovare l'indirizzo del suddettoVenire sotto casa, far lavorare Kali per entrare nella Wifi (con schedina wifi comprata alla fiera elettronica e pure senza scontrino)Scaricare cose che voi umani non potreste mai scaricare (cinepanettoni e televendite, cult movie e concerti, documentari e software come piovesse)Inviare lettera anonima di antidenuncia agli estorsori poco prima di finire il download perfettoAttendere nel parcheggio che vengano a chiedere il 10% del pil nazionale come risarcimento al proprietario della wifiAssistere al tentativo di difesa "ma è stato qualcun'altro, la password era la targa della mia moto ma forse qualche acher l'ha scoperta"Si, direi che impegnerei molto del mio tempo solo per fare questo.-
Re: Azioni legali
che figo ! -
Re: Azioni legali
- Scritto da: Il reverendo
Sarebbe la volta buona per decidermi a:
trovare l'ip di chi appoggia questa estorsione e
che scrive qui su PI ovviamente non tramite
Tor.
Trovare l'indirizzo del suddetto
Venire sotto casa, far lavorare Kali per entrare
nella Wifi (con schedina wifi comprata alla fiera
elettronica e pure senza
scontrino)
Scaricare cose che voi umani non potreste mai
scaricare (cinepanettoni e televendite, cult
movie e concerti, documentari e software come
piovesse)
Inviare lettera anonima di antidenuncia agli
estorsori poco prima di finire il download
perfetto
Attendere nel parcheggio che vengano a chiedere
il 10% del pil nazionale come risarcimento al
proprietario della
wifi
Assistere al tentativo di difesa "ma è stato
qualcun'altro, la password era la targa della mia
moto ma forse qualche acher l'ha
scoperta"
Si, direi che impegnerei molto del mio tempo solo
per fare
questo.Ok ! Good idea ! ;) ;) ;)E nel frattempo che tu cracchi e crocchi il WiFi dei bacchettoni io mi scarrico qualche film aggratisse dal redivivo demonoid p) e faccio il pieno di poppicorni (geek) -
Re: Azioni legali
- Scritto da: Il reverendo
Sarebbe la volta buona per decidermi a:
trovare l'ip di chi appoggia questa estorsione e
che scrive qui su PI ovviamente non tramite Tor.Tu non hai idea di quanta gente scriva qua tramite tor, ci sono direttamente gli script in giro per la rete per postare qua tramite tor :-o
Trovare l'indirizzo del suddetto Vediamo come si potrebbe fare... Beh dovresti bucarti il provider di PI non dovrebbe essere difficilissimo.
Venire sotto casa, far lavorare Kali per entrare
nella Wifi (con schedina wifi comprata alla fiera
elettronica e pure senza scontrino)
Scaricare cose che voi umani non potreste mai
scaricare (cinepanettoni e televendite, cult
movie e concerti, documentari e software come
piovesse)Ma a quel punto ti conviene fare MiM e succhiare dalla sua carta di credito no ?
Inviare lettera anonima di antidenuncia agli
estorsori poco prima di finire il download
perfettoSe il download non è concluso il file non è una prova.
Attendere nel parcheggio che vengano a chiedere
il 10% del pil nazionale come risarcimento al
proprietario della wifi
Assistere al tentativo di difesa "ma è stato
qualcun'altro, la password era la targa della mia
moto ma forse qualche acher l'ha scoperta"E visto che un giudice gli darebbe ragione, ti conviene aspirargli la CC.
Si, direi che impegnerei molto del mio tempo
solo per fare questo.Beh, facci sapere com'e' andata.-
Re: Azioni legali
- Scritto da: Storia
Tu non hai idea di quanta gente scriva qua
tramite tor, ci sono direttamente gli script in
giro per la rete per postare qua tramite tor
:-oVeramente il mio script dice solo di riavviare TOR quando l'IP è di quelli bannati dal T1000 ;)Per postare tramite TOR serve FoxyProxy (di modo che solo il posting sia tramite TOR e il sito non ne venga rallentato) ;)-
Re: Azioni legali
- Scritto da: Luco, giudice di linea mancato
- Scritto da: Storia
Tu non hai idea di quanta gente scriva
qua tramite tor, ci sono direttamente gli
script in giro per la rete per postare qua
tramite tor
:-o
Veramente il mio script dice solo di riavviare
TOR quando l'IP è di quelli bannati dal T1000
;)
Per postare tramite TOR serve FoxyProxy (di modo
che solo il posting sia tramite TOR e il sito non
ne venga rallentato)
;)E fare un form che consenta di postare tramite tor sarebbe possibile secondo te ? -
Re: Azioni legali
Se ne avesse idea ne avrebbe azzeccata almeno una invece non c'è una sola cosa sensata in quello che ha scritto.-
Re: Azioni legali
- Scritto da: vulture
Se ne avesse idea ne avrebbe azzeccata almeno una
invece non c'è una sola cosa sensata in quello
che ha scritto.Beh, io mi occupo di storia, mica di hacking, dimmi allora, come troveresti il suo ip ? -
Re: Azioni legali
Non lo troverei molto semplice.
-
-
Re: Azioni legali
- Scritto da: Luco, giudice di linea mancato
- Scritto da: Storia
Tu non hai idea di quanta gente scriva qua
tramite tor, ci sono direttamente gli script
in
giro per la rete per postare qua tramite tor
:-o
Veramente il mio script dice solo di riavviare
TOR quando l'IP è di quelli bannati dal T1000
;)
Per postare tramite TOR serve FoxyProxy (di modo
che solo il posting sia tramite TOR e il sito non
ne venga rallentato)
;)E non si potrebbe fare un vero e proprio form tipo questo dove si scrive che passi attraverso tor ?
-
-
-
Re: Azioni legali
-
Scritto da: Il reverendo
Sarebbe la volta buona per decidermi a:
trovare l'ip di chi appoggia questa estorsione
e che scrive qui su PI ovviamente non tramite Tor.Sarebbe sempre tempo perso, tanto ci sarà sempre qualche altro troll(o "diavoletto"( @^)... 8)) da strapazzo mandato dai vari enti(SIAE o chicchesia) pronto a fare disinformazione.-----------------------------------------------------------Modificato dall' autore il 28 novembre 2014 19.54-----------------------------------------------------------
-
-
Re: Azioni legali
- Scritto da: Terribile avvoltoio legale
Ottimo! Con queste azioni legali da una parte o
dall'altra ci sono sempre un bel po' di soldoni
da fare! Speriamo queste cose succedano in
Italia!
Parola di terribile avvoltoio legaleMa come mai il linguaggio è molto simile a quello de La SIAE? Esempi:http://punto-informatico.it/b.aspx?i=3519171&m=3519249#p3519249http://punto-informatico.it/b.aspx?i=3096369&m=3096665#p3096665http://punto-informatico.it/b.aspx?i=3466313&m=3475956#p3475956-
Re: Azioni legali
Forse per lo stesso motivo per il quale il tuo è simile a quello di "basta con la pirateria? (rotfl)-
Re: Azioni legali
- Scritto da: basta con
Forse per lo stesso motivo per il quale il tuo è
simile a quello di "basta con la pirateria?
(rotfl)Ma a lui lo pagano....Cioè almeno spero che lo paghino perchè altrimenti è da istituto.
-
-
Re: Azioni legali
-
Scritto da: Terribile avvoltoio legale-
Scritto da: Leguleio
Ottimo! Con queste azioni legali da una parte o
dall'altra ci sono sempre un bel po' di soldoni
da fare! Speriamo queste cose succedano in
Italia!
Parola di terribile avvoltoio legale
Ma come mai il linguaggio è molto simile a quello de La SIAE?
Esempi:
http://punto-informatico.it/b.aspx?i=3519171&m=3519249#p3519249
http://punto-informatico.it/b.aspx?i=3096369&m=3096665#p3096665
http://punto-informatico.it/b.aspx?i=3466313&m=3475956#p3475956Più che un troll ora sembrerebbe un bot forse apposito per Punto Informatico. -
Re: Azioni legali
- Scritto da: Leguleio
- Scritto da: Terribile avvoltoio legale
Ottimo! Con queste azioni legali da una
parte
o
dall'altra ci sono sempre un bel po' di
soldoni
da fare! Speriamo queste cose succedano in
Italia!
Parola di terribile avvoltoio legale
Ma come mai il linguaggio è molto simile a quello
de La SIAE?Similismo! Denunciazione! Chattavvocato! Ribaltamento di cabagigi! Insultamazione! Diffinuria! Sarcopantismo! Coprofagia!Ritrattazione! Ritrattazione! -
Re: Azioni legali
- Scritto da: Leguleio
- Scritto da: Terribile avvoltoio legale
Ma come mai il linguaggio è molto simile a quello
de La SIAE?
Esempi:È la lingua degli avvoltoi.
-
