Sono (fortunatamente) riuscito a sventare un attacco al mio sito internet.
Il buontempone di turno (un russo direi), ha provato ad utilizzare una tecnica di attacco nota come XSS (Cross Site Scripting) che sfrutta una vulnerabilità di WordPress.
Come si presenta l'attacco? Apparentemente come un innocuo commento errato in un qualunque post del sito.
La parte del commento che vediamo è costituita da una normalissima parentesi quadra aperta " [ " .
Ciò che salta agli occhi è che non si riesce ad eliminare quel commento in nessuna maniera.
Ciò che invece succede nel frattempo, mentre ci scervelliamo sul da farsi, è che viene automaticamente eseguita una porzione di codice in grado di creare un nuovo utente amministratore.
Una nuova identità con il massimo dei privilegi ovviamente gestita direttamente dal buontempone di turno con tutto ciò che "di buono" può derivare per la sicurezza del nostro sito internet.
Entrando nel database WordPress nella tabella wp_comments si scopre che il commento "nascosto" ovviamente non si limita alla parentesi aperta ma, contiene in realtà un javascript invisibile all'esterno che richiama una pagina di un sito web (banalmente con un "onmouseover=jQuery.getScript"), che appunto riesce a sfruttare la vulnerabilità e consente la creazione del nuovo utente amministratore in maniera completamente nascosta.
Come risolvere il problema:
Nell'immediato è necessario entrare nel database di WordPress, cancellare il commento ed ovviamente eliminare il nuovo utente amministratore (se lo script lo ha già creato).
Sarebbe consigliabile anche cambiare la password precedente (non si sa mai...)
Dopo un po' di ricerche online, immaginavo di non essere l'unico "fortunato", ho scoperto qui che la vulnerabilità può interessare tutti i siti realizzati su una versione WordPress precedente alla 4.0.1 (come il mio fino..ad oggi appunto!)
Per cui è cosa buona e giusta aggiornare la versione di WordPress!
Se avete dubbi e/o altre domande contattatemi!