Visualizzazione risultati 1 fino 3 di 3

Discussione: [Wordpress] Pericolosa vulnerabilità per WordPress

  1. 14-05-2009, 13.58.47 #1
    L'avatar di darkwolf
    darkwolf
    darkwolf non è connesso Salvatore Noschese
    Data registrazione
    18-04-2007
    Residenza
    Reggiolo (RE)
    Messaggi
    6,558

    Predefinito [Wordpress] Pericolosa vulnerabilità per WordPress

    Perishable Press ha recentemente segnalato un pericoloso bug che se sfruttato da utenti malintenzionati potrebbe compromettere seriamente un blog basato su WordPress, nonché i dati gestiti dal database utilizzato dall’applicazione per il suo normale funzionamento.

    L’ articolo in cui viene descritta la vulnerabilità, intitolato non a caso “Important Security Fix for WordPress“, contiene fortunatamente alcune soluzioni per evitare eventuali problemi.

    La falla sfrutta il file “install.php” contenuto nella cartella “wp-admin”, esattamente lo stesso che viene utilizzato per la famosa “installazione in 5 minuti” richiesta dal blog engine per ottenere un sito basato su questo CMS; i risultati possono essere disastrosi, tanto che un eventuale utente il cui blog venga attaccato potrebbe ritrovarsi un blog completamente off-line, come se WordPress non fosse mai stato installato.

    L’autore dell’articolo propone tre soluzioni per porre riparo temporaneamente al problema:

    * la più drastica: cancellare definitivamente il file “install.php”;
    * la più complessa: proteggere il file incriminato con un .htaccess;
    * la più lunga: sostituire “install.php” con una nuova versione modificata;
    * la "migliore" (mia aggiunta) è quella di proteggere la directory wp-admin con un .htaccess -> http://wordpress.org/exte...plugins/wp-security-scan/

    Naturalmente quelli elencati (nell’articolo sono descritte nel particolare tutti le procedure), sono essenzialmente dei provvedimenti tampone, l’ideale sarebbe che fosse lo stesso team di sviluppo del Blog engine a risolvere il problema alla radice.

    Fonte: http://www.onecms.it/13/05/2009/peri...per-wordpress/
    -
    PS: so che non è questo il luogo "adatto" ma, essendo tanti gli utilizzatori di wordpress qui su AV, ho ritenuto opportuno postarlo.
    Ultima modifica di darkwolf : 14-05-2009 alle ore 14.23.46
  2. 14-05-2009, 21.15.57 #2
    Guest

    Predefinito

    Grazie Dark per la segnalazione.
    Se cancello direttamente il file install.php non c'è nessun problema, giusto?
  3. 14-05-2009, 21.28.07 #3
    L'avatar di darkwolf
    darkwolf
    darkwolf non è connesso Salvatore Noschese
    Data registrazione
    18-04-2007
    Residenza
    Reggiolo (RE)
    Messaggi
    6,558

    Predefinito

    Citazione Originalmente inviato da musicanapoli Visualizza messaggio
    Grazie Dark per la segnalazione.
    Se cancello direttamente il file install.php non c'è nessun problema, giusto?
    No ma comunque puoi rinominarlo (install.php.txt o bkk o zxy.install.php.bak) fai te insomma, basta che non sia accessibile
« Discussione precedente | Prossima discussione »

Regole di scrittura

  • Non puoi creare nuove discussioni
  • Non puoi rispondere ai messaggi
  • Non puoi inserire allegati.
  • Non puoi modificare i tuoi messaggi
  •  

Regole del forum