Io non sapevo cosa fosse Internet.
Erano gli inizi degli anni 90, studiavo a Pisa ed avevo chiesto la tesi proprio agli istituti del CNR di via Santa Maria.
Ricordo la delusione quando il mio relatore mi disse che la bibliografia necessaria per il mio lavoro sarebbe arrivata da un suo collega negli Stati Uniti: conoscendo i tempi postali ero rassegnato ad avere quei titoli chissà quanti mesi dopo.
Sentivo di sprecare tempo inutilmente e già maledicevo l’idea di essermi avventurato in quella tesi sperimentale in ingegneria del software.
Ed invece, 3 ore dopo, magicamente la mia bibliografia era “nel” computer del mio prof, arrivata con una “cosa” che lui chiamava e- mail !
Io non sapevo cosa fosse Internet, ma rimasi assolutamente curioso e meravigliato.
Anche oggi che so cosa è Internet, se mi fermo per un attimo a pensare ai messaggi e le pagine che viaggiano in tempo reale nel mondo… mi sento ancora curioso ed ancora meravigliato.
‪#‎italianinternetday‬

Sono (fortunatamente) riuscito a sventare un attacco al mio sito internet.
Il buontempone di turno (un russo direi), ha provato ad utilizzare una tecnica di attacco nota come XSS (Cross Site Scripting) che sfrutta una vulnerabilità di WordPress.
images
Come si presenta l'attacco? Apparentemente come un innocuo commento errato in un qualunque post del sito.
La parte del commento che vediamo è costituita da una normalissima parentesi quadra aperta " [ " .
Ciò che salta agli occhi è che non si riesce ad eliminare quel commento in nessuna maniera.
Ciò che invece succede nel frattempo, mentre ci scervelliamo sul da farsi, è che viene automaticamente eseguita una porzione di codice in grado di creare un nuovo utente amministratore.
Una nuova identità con il massimo dei privilegi ovviamente gestita direttamente dal buontempone di turno con tutto ciò che "di buono" può derivare per la sicurezza del nostro sito internet.

Entrando nel database WordPress nella tabella wp_comments si scopre che il commento "nascosto" ovviamente non si limita alla parentesi aperta ma, contiene in realtà un javascript invisibile all'esterno che richiama una pagina di un sito web (banalmente con un "onmouseover=jQuery.getScript"), che appunto riesce a sfruttare la vulnerabilità e consente la creazione del nuovo utente amministratore in maniera completamente nascosta.

Come risolvere il problema:
Nell'immediato è necessario entrare nel database di WordPress, cancellare il commento ed ovviamente eliminare il nuovo utente amministratore (se lo script lo ha già creato).

Sarebbe consigliabile anche cambiare la password precedente (non si sa mai...)

Dopo un po' di ricerche online, immaginavo di non essere l'unico "fortunato", ho scoperto qui che la vulnerabilità può interessare tutti i siti realizzati su una versione WordPress precedente alla 4.0.1 (come il mio fino..ad oggi appunto!)
Per cui è cosa buona e giusta aggiornare la versione di WordPress!

Se avete dubbi e/o altre domande contattatemi!