[Tophost]

http://lorelle.wordpress.com/2009/09/04/old-wordpress-versions-under-attack/

Come riportato nel blog di Lorelle, una "blog evangelist" esperta tra le altre cose del CMS Wordpress, tutte le versioni di WP precedenti alla 2.8.4 sono soggette ad un bug di sicurezza che permette di creare un amministratore nascosto e quindi aprire il proprio blog a qualsiasi tipo di attività.

Ne' da notizia anche il nostro amico Stefano, su Wordpress Italia. La trovate cliccando qui.

Cosa fare? Aggiornare fin da subito il vostro Wordpress alla versione 2.8.4.

[ErEiSeR]

Dopo l'aggiornamento appena entro in admin mi da questo errore....

Fatal error: Allowed memory size of 33554432 bytes exhausted (tried to allocate 30720 bytes) in /home/mhd-01/www.lillodipiazza.com/htdocs/wp-admin/includes/misc.php on line 555


che cosa faccio adesso?

[Tophost]

Segui le indicazioni sull'aumento della memoria che trovi a questo indirizzo:

http://www.prozone.it/smf/index.php?topic=3520

[luke]

Volevo portare in evidenza una soluzione per proteggersi dal problema di vulnerabilità di WordPress senza aggiornarlo.

Premetto che la via dell'aggiornamento è sempre la strada migliore e consigliata e che quanto vi vado a dire è senza garanzia alcuna, quindi se poi vi hacckano il sito non venite a cercarmi.

Soluzione 1. Bene, esiste un apposito plugin per wordpress che a detta dell'autore blocca gli attacchi tipo di Cross Site Scriptings, inclusione remota e locale di file, SQL injections e cross site request forgery. Si chiama WP-SENTINEL e lo trovate qui: http://www.evilsocket.net/764/wp-sentinel-pubblicato.html

Soluzione 2. Altro metodo, rapido e senza installare nulla. Aprite il vostro file ".htaccess" ed impedite l'accesso a tutti gli user agent del tipo "libwww-perl" visto che si tratta di moduli scritti per effettuare attacchi.

Per l'implementazione di questa seconda soluzione potete vedere a questo indirizzo: http://www.deec.it/2009/08/28/bloccare-gli-attacchi-al-vostro-sito-con-un-file-htaccess/

[extrabyte]

Volevo portare in evidenza una soluzione per proteggersi dal problema di vulnerabilità di WordPress senza aggiornarlo.



Soluzione 2. Altro metodo, rapido e senza installare nulla. Aprite il vostro file ".htaccess" ed impedite l'accesso a tutti gli user agent del tipo "libwww-perl" visto che si tratta di moduli scritti per effettuare attacchi.

Per l'implementazione di questa seconda soluzione potete vedere a questo indirizzo: http://www.deec.it/2009/08/28/bloccare-gli-attacchi-al-vostro-sito-con-un-file-htaccess/

dalla risorsa che hai postato ho copiato e incollato questo codice:

#####
#libwww-perl
RewriteCond %{HTTP_USER_AGENT} ^libwww-perl
RewriteRule ^.*$ http://127.0.0.1 [R,L]
#####

nell'editor di editpad lite, dopodichè ho salvato il file rinominandolo in .htaccess. Quindi l'ho uppato nella mia webroot, però non lo vedo nella lista dei file caricati...

[Volverine]

dalla risorsa che hai postato ho copiato e incollato questo codice:

#####
#libwww-perl
RewriteCond %{HTTP_USER_AGENT} ^libwww-perl
RewriteRule ^.*$ http://127.0.0.1 [R,L]
#####

nell'editor di editpad lite, dopodichè ho salvato il file rinominandolo in .htaccess. Quindi l'ho uppato nella mia webroot, però non lo vedo nella lista dei file caricati...

Se usi il File Manager del cpanel è praticamente impossibile, mentre se usi un client FTP hai semplicemente dimenticato di abilitare nello stesso la visualizzazione dei file nascosti e dato che i files che iniziano con il punto sono considerati nascosti, è normale che tu non lo veda 

[extrabyte]

penso di aver fatto dei casini con .htaccess: non si aprono le pagine dei singoli post!

Ecco le direttive che ho inserito:

#####
#libwww-perl
RewriteCond %{HTTP_USER_AGENT} ^libwww-perl
RewriteRule ^.*$ http://127.0.0.1 [R,L]
#####

[extrabyte]

Se usi il File Manager del cpanel è praticamente impossibile, mentre se usi un client FTP hai semplicemente dimenticato di abilitare nello stesso la visualizzazione dei file nascosti e dato che i files che iniziano con il punto sono considerati nascosti, è normale che tu non lo veda 

ok, ma da quando ho caricato quel file il sito è SPARITO! c'è solo la home...

[extrabyte]

ho cancellato il file .htaccess, ma il problema è rimasto....

[extrabyte]

nel frattempo mi ha risposto il tecnico.

Ho ricomposto il file htaccess, ora è ok!

[extrabyte]

Soluzione 2. Altro metodo, rapido e senza installare nulla. Aprite il vostro file ".htaccess" ed impedite l'accesso a tutti gli user agent del tipo "libwww-perl" visto che si tratta di moduli scritti per effettuare attacchi.

Per l'implementazione di questa seconda soluzione potete vedere a questo indirizzo: http://www.deec.it/2009/08/28/bloccare-gli-attacchi-al-vostro-sito-con-un-file-htaccess/

Potresti dare un'occhiata alla sintassi dell'intero file .htaccess ?

Eccola:

# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>

# END WordPress

#####
#libwww-perl
RewriteCond %{HTTP_USER_AGENT} ^libwww-perl
RewriteRule ^.*$ http://127.0.0.1 [R,L]
#####

Thanks!

Non vorrei commettere altri errori...  :beye:

[Volverine]

Codice:

# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>

# END WordPress

#####
#libwww-perl
RewriteCond %{HTTP_USER_AGENT} ^libwww-perl
RewriteRule ^.*$ http://127.0.0.1 [R,L]
#####

ok, va bene.

[extrabyte]

ok, va bene.

Grazie 1000!

p.s. ieri avevo aperto un ticket, perché pensavo più ad un problema del server. La riposta del supporto è arrivata subito dopo (un pò come fa un vostro concorrente  )

[matteoraggi]

E' possibile mettere al sicuro wordpress senza aggironarlo? Mi ritrovo decine di blog in giro molto vecchi e so già che se li aggiorno, a parte che perdo almeno 10 minuti per sito, ma inoltre spesso mi ritroverò le font che danno errore e poi perdo lameno 1 ora a blog se va bene..
Insomma c'è un plugin che mette al sicuro wordpress senza doverlo per forza aggiornare alla 2.8.4?

[extrabyte]

E' possibile mettere al sicuro wordpress senza aggironarlo? Mi ritrovo decine di blog in giro molto vecchi e so già che se li aggiorno, a parte che perdo almeno 10 minuti per sito, ma inoltre spesso mi ritroverò le font che danno errore e poi perdo lameno 1 ora a blog se va bene..
Insomma c'è un plugin che mette al sicuro wordpress senza doverlo per forza aggiornare alla 2.8.4?

Edita il file .htaccess con le giuste direttive (leggi i post più sopra)