WordPress e i commenti malevoli

Un baco nel codice di WordPress mette a rischio un gran numero di siti Web basati sul popolare CMS, mentre il team di sviluppo rilascia un aggiornamento che risolve altri problemi di sicurezza

Roma – La società finlandese Klikki ha scovato un bug nel codice di WordPress 3, versione ampiamente superata dalle release più recenti del CMS più popolare, ma che continua a mettere a rischio un gran numero di siti. L’86 per cento di blog, portali e servizi basati su WordPress risulta potenzialmente affetto dal problema, dicono gli esperti.

L’origine del problema risiede nel sistema di commenti di WordPress, commenti che potrebbero contenere codice JavaScript (JS) malevolo e che nelle impostazioni di default del CMS vengono pubblicati in automatico senza filtri o controlli imposti da parte dell’amministratore.

Il codice JS potrebbe servire a compiere ogni genere di azione pericolosa per il sito sotto attacco, inclusa la creazione di un nuovo account admin e l’eliminazione delle possibilità di accesso al backend agli admin propriamente detti.

A quel punto tutto è possibile, inclusa l’eliminazione di ogni traccia di compromissione, l’aggiunta di codice PHP malevolo attraverso gli editor interni di WordPress (o direttamente da server nel caso in cui la compromissione riguardasse anche questo) e altro ancora. Diversamente dalla versione 3, WordPress 4.0 non è affetto dal baco.

WordPress è stata di recente afflitta da altri problemi di sicurezza , e non stupisce che, a poca distanza dalla distribuzione di WordPress 4.0, Automattic abbia rilasciato una nuova versione (4.0.1) contenente patch che mettono alla porta bug che possono dare origine a attacchi XSS (Cross-Site Scripting), basati su codice HTML malformato e a collisioni di hash potenzialmente sfruttabili per compromettere gli account utente.

Alfonso Maruccia

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Il Punto scrive:
    Lo sciacallaggio.
    Questo sciacallaggio viene praticato semplicemente con una variante "più tollerante" rispetto a un' altra davvero scabrosa e estorsiva:http://punto-informatico.it/3808861/PI/News/usa-infezione-del-copyright.aspx.E ci sono episodi di questo genere anche tralasciando il file sharing, ma sempre con lo stesso metodo più o meno:http://punto-informatico.it/3957548/PI/News/copyright-lettere-scandalose.aspx.
  • Il reverendo scrive:
    Re: Azioni legali
    Sarebbe la volta buona per decidermi a:trovare l'ip di chi appoggia questa estorsione e che scrive qui su PI ovviamente non tramite Tor.Trovare l'indirizzo del suddettoVenire sotto casa, far lavorare Kali per entrare nella Wifi (con schedina wifi comprata alla fiera elettronica e pure senza scontrino)Scaricare cose che voi umani non potreste mai scaricare (cinepanettoni e televendite, cult movie e concerti, documentari e software come piovesse)Inviare lettera anonima di antidenuncia agli estorsori poco prima di finire il download perfettoAttendere nel parcheggio che vengano a chiedere il 10% del pil nazionale come risarcimento al proprietario della wifiAssistere al tentativo di difesa "ma è stato qualcun'altro, la password era la targa della mia moto ma forse qualche acher l'ha scoperta"Si, direi che impegnerei molto del mio tempo solo per fare questo.
    • smarmaduk scrive:
      Re: Azioni legali
      che figo !
    • Ciccio Scaricone scrive:
      Re: Azioni legali
      - Scritto da: Il reverendo
      Sarebbe la volta buona per decidermi a:
      trovare l'ip di chi appoggia questa estorsione e
      che scrive qui su PI ovviamente non tramite
      Tor.
      Trovare l'indirizzo del suddetto
      Venire sotto casa, far lavorare Kali per entrare
      nella Wifi (con schedina wifi comprata alla fiera
      elettronica e pure senza
      scontrino)
      Scaricare cose che voi umani non potreste mai
      scaricare (cinepanettoni e televendite, cult
      movie e concerti, documentari e software come
      piovesse)
      Inviare lettera anonima di antidenuncia agli
      estorsori poco prima di finire il download
      perfetto
      Attendere nel parcheggio che vengano a chiedere
      il 10% del pil nazionale come risarcimento al
      proprietario della
      wifi
      Assistere al tentativo di difesa "ma è stato
      qualcun'altro, la password era la targa della mia
      moto ma forse qualche acher l'ha
      scoperta"

      Si, direi che impegnerei molto del mio tempo solo
      per fare
      questo.Ok ! Good idea ! ;) ;) ;)E nel frattempo che tu cracchi e crocchi il WiFi dei bacchettoni io mi scarrico qualche film aggratisse dal redivivo demonoid p) e faccio il pieno di poppicorni (geek)
    • Storia scrive:
      Re: Azioni legali
      - Scritto da: Il reverendo
      Sarebbe la volta buona per decidermi a:
      trovare l'ip di chi appoggia questa estorsione e
      che scrive qui su PI ovviamente non tramite Tor.Tu non hai idea di quanta gente scriva qua tramite tor, ci sono direttamente gli script in giro per la rete per postare qua tramite tor :-o
      Trovare l'indirizzo del suddetto Vediamo come si potrebbe fare... Beh dovresti bucarti il provider di PI non dovrebbe essere difficilissimo.
      Venire sotto casa, far lavorare Kali per entrare
      nella Wifi (con schedina wifi comprata alla fiera
      elettronica e pure senza scontrino)
      Scaricare cose che voi umani non potreste mai
      scaricare (cinepanettoni e televendite, cult
      movie e concerti, documentari e software come
      piovesse)Ma a quel punto ti conviene fare MiM e succhiare dalla sua carta di credito no ?
      Inviare lettera anonima di antidenuncia agli
      estorsori poco prima di finire il download
      perfettoSe il download non è concluso il file non è una prova.
      Attendere nel parcheggio che vengano a chiedere
      il 10% del pil nazionale come risarcimento al
      proprietario della wifi
      Assistere al tentativo di difesa "ma è stato
      qualcun'altro, la password era la targa della mia
      moto ma forse qualche acher l'ha scoperta"E visto che un giudice gli darebbe ragione, ti conviene aspirargli la CC.
      Si, direi che impegnerei molto del mio tempo
      solo per fare questo.Beh, facci sapere com'e' andata.
      • Luco, giudice di linea mancato scrive:
        Re: Azioni legali
        - Scritto da: Storia
        Tu non hai idea di quanta gente scriva qua
        tramite tor, ci sono direttamente gli script in
        giro per la rete per postare qua tramite tor
        :-oVeramente il mio script dice solo di riavviare TOR quando l'IP è di quelli bannati dal T1000 ;)Per postare tramite TOR serve FoxyProxy (di modo che solo il posting sia tramite TOR e il sito non ne venga rallentato) ;)
        • Natalino scrive:
          Re: Azioni legali
          - Scritto da: Luco, giudice di linea mancato
          - Scritto da: Storia

          Tu non hai idea di quanta gente scriva

          qua tramite tor, ci sono direttamente gli

          script in giro per la rete per postare qua

          tramite tor

          :-o
          Veramente il mio script dice solo di riavviare
          TOR quando l'IP è di quelli bannati dal T1000
          ;)
          Per postare tramite TOR serve FoxyProxy (di modo
          che solo il posting sia tramite TOR e il sito non
          ne venga rallentato)
          ;)E fare un form che consenta di postare tramite tor sarebbe possibile secondo te ?
        • vulture scrive:
          Re: Azioni legali
          Se ne avesse idea ne avrebbe azzeccata almeno una invece non c'è una sola cosa sensata in quello che ha scritto.
          • Storia scrive:
            Re: Azioni legali
            - Scritto da: vulture
            Se ne avesse idea ne avrebbe azzeccata almeno una
            invece non c'è una sola cosa sensata in quello
            che ha scritto.Beh, io mi occupo di storia, mica di hacking, dimmi allora, come troveresti il suo ip ?
          • Grima Vermilingu o scrive:
            Re: Azioni legali
            Non lo troverei molto semplice.
        • Natalino scrive:
          Re: Azioni legali
          - Scritto da: Luco, giudice di linea mancato
          - Scritto da: Storia

          Tu non hai idea di quanta gente scriva qua

          tramite tor, ci sono direttamente gli script
          in

          giro per la rete per postare qua tramite tor

          :-o

          Veramente il mio script dice solo di riavviare
          TOR quando l'IP è di quelli bannati dal T1000
          ;)
          Per postare tramite TOR serve FoxyProxy (di modo
          che solo il posting sia tramite TOR e il sito non
          ne venga rallentato)
          ;)E non si potrebbe fare un vero e proprio form tipo questo dove si scrive che passi attraverso tor ?
    • Il Punto scrive:
      Re: Azioni legali
      -
      Scritto da: Il reverendo
      Sarebbe la volta buona per decidermi a:
      trovare l'ip di chi appoggia questa estorsione
      e che scrive qui su PI ovviamente non tramite Tor.Sarebbe sempre tempo perso, tanto ci sarà sempre qualche altro troll(o "diavoletto"( @^)... 8)) da strapazzo mandato dai vari enti(SIAE o chicchesia) pronto a fare disinformazione.-----------------------------------------------------------Modificato dall' autore il 28 novembre 2014 19.54-----------------------------------------------------------
  • Leguleio scrive:
    Re: Azioni legali
    - Scritto da: Terribile avvoltoio legale
    Ottimo! Con queste azioni legali da una parte o
    dall'altra ci sono sempre un bel po' di soldoni
    da fare! Speriamo queste cose succedano in
    Italia!

    Parola di terribile avvoltoio legaleMa come mai il linguaggio è molto simile a quello de La SIAE? Esempi:http://punto-informatico.it/b.aspx?i=3519171&m=3519249#p3519249http://punto-informatico.it/b.aspx?i=3096369&m=3096665#p3096665http://punto-informatico.it/b.aspx?i=3466313&m=3475956#p3475956
    • basta con scrive:
      Re: Azioni legali
      Forse per lo stesso motivo per il quale il tuo è simile a quello di "basta con la pirateria? (rotfl)
      • Jolly scrive:
        Re: Azioni legali
        - Scritto da: basta con
        Forse per lo stesso motivo per il quale il tuo è
        simile a quello di "basta con la pirateria?

        (rotfl)Ma a lui lo pagano....Cioè almeno spero che lo paghino perchè altrimenti è da istituto.
    • Il Punto scrive:
      Re: Azioni legali
      -
      Scritto da: Terribile avvoltoio legale-

      Scritto da: Leguleio
      Ottimo! Con queste azioni legali da una parte o
      dall'altra ci sono sempre un bel po' di soldoni
      da fare! Speriamo queste cose succedano in
      Italia!

      Parola di terribile avvoltoio legale



      Ma come mai il linguaggio è molto simile a quello de La SIAE?

      Esempi:



      http://punto-informatico.it/b.aspx?i=3519171&m=3519249#p3519249



      http://punto-informatico.it/b.aspx?i=3096369&m=3096665#p3096665



      http://punto-informatico.it/b.aspx?i=3466313&m=3475956#p3475956Più che un troll ora sembrerebbe un bot forse apposito per Punto Informatico.
    • azioni scrive:
      Re: Azioni legali
      - Scritto da: Leguleio
      - Scritto da: Terribile avvoltoio legale

      Ottimo! Con queste azioni legali da una
      parte
      o

      dall'altra ci sono sempre un bel po' di
      soldoni

      da fare! Speriamo queste cose succedano in

      Italia!



      Parola di terribile avvoltoio legale


      Ma come mai il linguaggio è molto simile a quello
      de La SIAE?Similismo! Denunciazione! Chattavvocato! Ribaltamento di cabagigi! Insultamazione! Diffinuria! Sarcopantismo! Coprofagia!Ritrattazione! Ritrattazione!
    • Simpatico falchetto illegale scrive:
      Re: Azioni legali
      - Scritto da: Leguleio
      - Scritto da: Terribile avvoltoio legale
      Ma come mai il linguaggio è molto simile a quello
      de La SIAE?
      Esempi:È la lingua degli avvoltoi.
  • bradipao scrive:
    sembra estorsione
    Io non lo trovo molto diverso dall'estorsione da parte della criminalità organizzata...
    • Ovvio scrive:
      Re: sembra estorsione
      - Scritto da: bradipao
      Io non lo trovo molto diverso dall'estorsione da
      parte della criminalità
      organizzata...Non lo trovi diverso perchè non è diverso.La parte in cui ottengono un nome dall'IP senza averne diritto è terrificante: pensa cosa potrebbe fare uno stalker.
      • ... scrive:
        Re: sembra estorsione
        Questi non hanno ancora capito che ottenere il nome dell'intestatario non prova nulla, visto che potrebbe benissimo non essere stato lui.Il loro bel proXXXXX finisce quindi ancora prima di cominciare per insufficienza di prove.Per non contare poi i modi palesemente illeciti con cui ottengono i dati... le loro probabilità di sucXXXXX sono piuttosto basse.
        • prove123 scrive:
          Re: sembra estorsione
          Le linee telefoniche dovrebbero essere blindate sino a casa (tanto pe cominciare) ... in italia ci sono le cabine telefoniche chiuse con lo spago ...
        • Sg@bbio scrive:
          Re: sembra estorsione
          In italia quando indagano su queste cose, non danno per scontato che l'intestatario della linea sia anche colui che compie l'azione.
    • panda rossa scrive:
      Re: sembra estorsione
      - Scritto da: bradipao
      Io non lo trovo molto diverso dall'estorsione da
      parte della criminalità
      organizzata...Useremo gli stessi metodi per difenderci.
      • alro scrive:
        Re: sembra estorsione
        Ovvero?! Specifica cosa!-----------------------------------------------------------Modificato dall' autore il 26 novembre 2014 16.57-----------------------------------------------------------
      • prove123 scrive:
        Re: sembra estorsione
        Mi ricordo che più di una decina di anni fa arrivavano email "ci risulta dal suo IP che le usa il download accelerator ... bla bla bla ..." le uniche comunicazioni che valgono sono quelle su carta legale, per il resto devono dare conto di come hanno ottenuto l'indirizzo email che non gli è mai stato conXXXXX ...
        • Sg@bbio scrive:
          Re: sembra estorsione
          In italia qualcuno provo ha fare tale cosa come negli usa, ovvero rastrellare IP e chiedere soldi per evitare un proXXXXX.
      • smarmaduk scrive:
        Re: sembra estorsione
        che figo !
    • Il Punto scrive:
      Re: sembra estorsione
      -
      Scritto da: bradipao
      Io non lo trovo molto diverso dall'estorsione
      da parte della criminalità organizzata...No aspetta in realtà è diverso, l' estorsione della criminalità organizzata è illegale, nel caso di Rightscorp invece no perché tutela/ta dal/la legge ;).
Chiudi i commenti