WordPress sotto attacco, ma solo per gli sprovveduti

WordPress sotto attacco, ma solo per gli sprovveduti

Nei giorni scorsi un importante attacco ha visto quale target WordPress e i propri utenti. Solo però chi non aveva attuato basilari operazioni per la sicurezza si è trovato in difficoltà

di Fabio Boneschi pubblicata il , alle 11:01 nel canale Sicurezza
 

Nei giorni scorsi è stato registrato un importante attacco rivolto a blog basati su piattaforma WordPress: sono stati presi di mira circa 90.000 indirizzi IP utilizzando un attacco di tipo Brute Force attuato da circa 100.000 sistemi. L'origine di questo attacco non è per il momento chiara e per ora si stanno analizzando le dinamiche con cui è stato realizzato.

L'attacco è stato rivolto ai suddetti blog WordPress utilizzando il nome utente "Admin" - definito di default al momento dell'installazione - e cercando di forzare la password utilizzando ripetuti tentativi basati su vocabolari. Nulla di particolarmente elaborato che parte da un presupposto fondamentale: la scarsa attenzione dell'utente nello scegliere la password di accesso e nell' affidarsi al nome utente di default.

Se l'attacco va a buon fine, cioè se viene trovata la giusta password per effettuare il login, sul server compromesso viene installata una backdoor. La sicurezza del server è quindi compromessa: da remoto un malintenzionato potrebbe installare codice per ampliare il proprio numero di sistemi controllati, oppure attivare altre possibili iniziative malevole. In alcuni casi, come segnalato da CloudFlare e HostGator i legittimi proprietari degli account sono stati messi nella condizione di non poter accedere al proprio blog.

Ci sono varie soluzioni per rendere il proprio blog più sicuro, come ad esempio quella di installare un plug-in che non permette di effettuare più di tre tentativi di accesso dal medesimo IP. Ma sulla questione è intervenuto anche Matt Mullenweg, tra i creatori di WordPress, che ha sottolineato come il metodo appena descritto non rappresenti una sufficiente garanzia. Come soluzione più valida viene suggerita dagli esperti anche la modalità Two-Step autentication, ma soprattutto si consiglia un costante aggiornamento dei pacchetti, dei plug-in e una scelta di user e password ragionata.

Online circolano alcune ipotesi perlopiù credibili in merito alle motivazioni e agli obiettivi di questo attacco. I server utilizzati da Word Press ospitano circa 64 milioni di siti, quindi con l'azione messa in atto nei giorni scorsi si è cercato di prendere il controllo del maggior numero possibile di singoli siti - riconducibili a singoli account - per poi sfruttare le risorse hardware dei server di Word Press al fine di compiere altri e più articolati attacchi, ad esempio un DDoS. Ma sia chiaro: rimaniamo nel puro campo delle ipotesi. Dettagli e approfondimenti sono disponibili qui.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

10 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Tedturb015 Aprile 2013, 11:03 #1
Il titolo e' un po' un controsenso, visto che WordPress nasce per gli sprovveduti
Tuvok-LuR-15 Aprile 2013, 11:19 #2
Originariamente inviato da: Tedturb0
Il titolo e' un po' un controsenso, visto che WordPress nasce per gli sprovveduti


in che senso?
]Rik`[15 Aprile 2013, 11:19 #3
Originariamente inviato da: Tedturb0
Il titolo e' un po' un controsenso, visto che WordPress nasce per gli sprovveduti


manowar8415 Aprile 2013, 11:44 #4
Originariamente inviato da: Tedturb0
Il titolo e' un po' un controsenso, visto che WordPress nasce per gli sprovveduti


talmente da sprovveduti che il sito della sony: http://www.sonymobile.com/it/ è fatto con wordpress, che incapaci questi della sony!

(tanto per fare un esempio)
II ARROWS15 Aprile 2013, 12:14 #5
È possibile, ma come fai a sapere che è fatto con Wordpress?
manowar8415 Aprile 2013, 12:16 #6
Originariamente inviato da: II ARROWS
È possibile, ma come fai a sapere che è fatto con Wordpress?


perchè non hanno cambiato il link per la pagina di admin, aggiungi wp-amin alla fine del link
nickmot15 Aprile 2013, 12:18 #7
Originariamente inviato da: II ARROWS
È possibile, ma come fai a sapere che è fatto con Wordpress?


CTRL+U
Cerca wordpress nel sorgente...

[HTML]<!-- Build Info: 1f5c2e954167e301f212e2ce81a60c1541961a25 (20130412090946) --><!-- 77q 0.325s -->
<!-- Performance optimized by W3 Total Cache. Learn more: http://www.w3-edge.com/wordpress-plugins/[/HTML]
seph8715 Aprile 2013, 14:38 #8
scusate ma non mi è chiaro come, trovando la psw di un sito wordpress, si possa poi compremettere il server
D3stroyer15 Aprile 2013, 15:38 #9
Originariamente inviato da: Tedturb0
Il titolo e' un po' un controsenso, visto che WordPress nasce per gli sprovveduti


questa poi..mi sa che non conosci a fondo wordpress
WarSide15 Aprile 2013, 20:54 #10
Originariamente inviato da: seph87
scusate ma non mi è chiaro come, trovando la psw di un sito wordpress, si possa poi compremettere il server


Se il sysadmin che c'è dietro è un pecoraro allora si, ma se il server è gestito da personale che conosce un minimo ciò che sta facendo, ad essere bucato è il singolo "spazio web" non l'intero server.

Il problema è che una volta dentro iniziano a caricare le peggio porcherie, che possono a loro volta (usando socket & Co) fare chiamate verso altri server sfruttando le potezialità del server ospite che nel 90% dei casi ha una capacità di banda pari a quella di 100 o più adsl nostrane (dovete considerare la vel di upload reale).

Dato che non tutti i provider limitano (o sono in grado di limitare) la banda in uscita per ogni sito/cliente (sono + quelli che non lo fanno), basta bucare un singolo wordpress per avere a disposizione l'ampiezza di banda dell'intero server.


Originariamente inviato da: D3stroyer
questa poi..mi sa che non conosci a fondo wordpress


Parto col dire che usare wp non significa essere sprovveduto, perché molti usano WP dopo una attenta analisi; detto questo, però...

Un developer, che può definirsi tale, sa bene che wp è scritto con i piedi (e sono benevolo ); ma, grazie al fatto che anche una capra dopo 1 oretta riesce bene o male a pastrugnarci vicino, è diventato lo script maggiormente usato e con più estenzioni/mod/temi in circolazione.

Quello che interessa all'utilizzatore finale, però, è l'esperienza d'uso e WP sicuramente non demerita, per questo motivo anche (e non solo) chi non ci capisce molto lo usa... per fortuna hanno reso possibili gli aggiornamenti one-click direttamente da pannello, o ci sarebbe una news del genere al giorno

EDIT:
@Tedturb0: Dire che un qualsiasi software è usabile da sprovveduti non è una critica, anzi, significa che il lavoro fatto sulla UI è ottimo.


PS: Ma adesso il forum inizia a non farmi salvare più i mex modificati in modalità semplice? Devo andare necessariamente in modalità avanzata e poi salvare

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^