Vulnerabilităţi în WordPress. Păcăleala lunii aprilie

Dacă ar fi să numesc un lucru de care sunt cu adevărat mulţumit, aş pune accentul pe echilibrul de care am dat dovadă pe acest blog, din momentul apariţiei sale şi până în prezent. Şi îmi permit să amintesc două momente: atacul asupra versiunilor WordPress mai vechi de 2.8.4 şi cazul Aurora (avându-l ca protagonist pe neobositul Internet Explorer). În ambele situaţii, am preferat să aştept date concrete, din surse sigure, şi doar apoi am trecut la scrierea materialelor. Cu maximă precauţie.

N-am ţinut morţiş să fiu „primul pe Google”. Poziţiile fruntaşe în SERP se pot obţine şi prin conţinut nu doar prin „hărnicie”, că doar nu suntem la o întrecere câmpenească, iar dacă uneori n-am avut priceperea necesară în a scrie articole bune, măcar am dat dovadă de inspiraţie… tăcând. Aşteptând. Preferând să mă documentez.

Ei bine, în ultima săptămână, o serie de zvonuri au inundat paginile unor bloguri de profil, clamându-se existenţa unor vulnerabilităţi în WordPress 2.9.2. Problema a fost sesizată mai întâi la blogurile găzduite de Network Solutions şi consta în deturnarea URL-ului, a adresei blogului, iar acest articol din 10 aprilie, postat pe Sucuri Security, certifică gravitatea situaţiei.

11 aprilie

Pe 11 aprilie, blogul TrendMicro vorbeşte despre instalările WordPress compromise, dar atenţie, spre deosebire de „specialiştii” de la Network Solutions care s-au grăbit să scoată ţap ispăşitor platforma WordPress, un plugin ori o temă, TrendMicro spune doar că blogurile afectate sunt redirecţionate spre o adresă de unde se încearcă descărcarea unui troian (n.r. troj_buzus.zyx), respectiv a unui antivirus „fals”, troj_fakeav.zzy. Problema se cercetează.

TrendMicro nu se hazardează să arate cu degetul vinovaţii, dar de vreme ce multe dintre bloguri erau găzduite de Network Solutions, nu exclude ca problema să fie de ordin intern.

Tot în aceeaşi zi, comunicatul oficial Network Solutions, vorbeşte despre „a root cause” şi nu mai spune nici măcar un cuvânt despre „vulnerabilităţile” WordPress.

12 aprilie

Pe 12 aprilie, Network Solutions revine cu o completare. TrendMicro şi-a reactualizat articolul. La fel şi Sucuri Security, iar problema este „oficializată” ca fiind setarea incorectă a permisiunilor de acces, în speţă a fişierului wp-config.php, ce conţine „în clar” datele de logare. Din motive doar de ei ştiute, s-a lăsat acces total la wp-config.php, dar cum iarna nu-i ca vara, nici 755 nu este egal cu 644 ori 600.

Principala cauză a site-urile „sparte” are la bază setarea incorectă a accesului la resurse considerate a fi esenţiale, iar atunci când am vorbit despre plugin-urile pentru WordPress pe care le folosesc, am amintit şi de WP Security Scan, una dintre funcţiile acestui plugin fiind chiar verificare / setarea corespunzătoare a permisiunilor.

DE CE e răspunzător WordPress-ul, atunci când utilizatorii refuză să se informeze sau, chiar mai rău, cei care le găzduiesc blogul îi induc (deliberat sau nu) în eroare ?

13 aprilie

În sfârşit, pe 13 aprilie, într-un articol intitulat „Secure File Permissions Matter” (ro. „Contează ca permisiunile să fie securizate”), Matt Mullenweg pune punctul pe i, dar nu pe „i”-ul din vulnerab(i)l, ci pe cel din negl(i)jenţă, fiindcă indiferent cum şi-ar fi setat acele drepturi de acces, 750 sau 755, un server corect configurat nu trebuie să permită accesul la resurse care nu-ţi aparţin, la fişiere care nu sunt ale tale.

14 aprilie

Vă scriu aceste rânduri.

Povestea vulnerabilităţilor din WordPress este păcăleala lunii aprilie (una chiar mai sadică decât „textul întors”), însă dacă aţi avut neşansa să vă molipsiţi cu troianul troj_buzus.zyx (de care se vorbeşte pe TrendMicro), şi nu puteţi accesa blogul, există o soluţie.

Editaţi fişierul wp-config.php şi adăugaţi linia:

define(‘WP_SITEURL’, ‘numesite.ro’);

Ştergeţi cache-ul, schimbaţi parolele de administrare şi setaţi permisiunile de acces aşa cum trebuie: 600 pentru fişierul wp-config.php, 604 pentru .htaccess.

În loc de încheiere…

Voi încerca să răspund la o întrebare. Este WordPress-ul VULNERABIL ?

Folosesc acest CMS din 2008 („de pre vremea” lui 2.6.5) şi pot să spun că WordPress-ul NU ESTE INVULNERABIL.

Au fost probleme (le-am menţionat atunci când a fost cazul), au apărut actualizări de securitate, setările standard nu sunt suficiente (ori nu sunt explicate îndeajuns de bine), însă per-total, hiba este la utilizatori. De înţeles până la punct. Nimeni nu s-a născut administrator, dar e şi mai trist atunci când cei care pozează în specialişti şi gestionează soarta a sute de bloguri, comentează precum la un meci de fotbal. Sunt câteva păreri extrem de interesante pe Sucuri Security şi vă invit să le parcurgeţi.

Nu uitaţi nici de secţiunea dedicată WORDPRESS, pe blogul Stefa Media.

Materiale bibliografice:

• http://www.stefamedia.ro/plugin-uri-pentru-wordpress-pe-care-le-folosesc/
• http://codex.wordpress.org/Changing_File_Permissions
• http://www.blogtap.net/wp-config-php-security-leak-hundreds-of-blogs-hacked/
• http://blog.networksolutions.com/2010/update-word-press-issue-fixed/
• http://blog.networksolutions.com/2010/alert-wordpress-blog-network-solutions/
• http://blog.trendmicro.com/wordpress-blogs-suffer-mass-compromise/
• http://blog.sucuri.net/2010/04/details-on-network-solutions-wordpress.html
• http://wordpress.org/development/2010/04/file-permissions/

Despre autor şi articol

Bogdan-Andrei a scris 281 articole pe blogul Stefa Media.

Student la Comunicare şi Relaţii Publice, cunoscător al jocurilor din perioada anilor '80 sau '90, interesat de IT şi WordPress, scriu despre ce-mi place şi, de cele mai multe ori, îmi place ceea ce scriu. Şi nu doar mie. De aceea continui.

• Site web
• Twitter
• Facebook

Categorii: Vulnerabilităţi Etichete: aprilie 2010, bloguri, Network Solutions, păcăleală, permisiuni, Sucuri Security, TrendMicro, Vulnerabilităţi, WORDPRESS, wp-config.php