Attacco a Wordpress su Aruba: pagina bianca e codice maligno.

Già da ieri sera circolavano voci di attacchi multipli ai siti e blog realizzati su wordpress, così mi sono precipitato subito a controllare alcuni siti che gestisco ed 1 di questi era stato già attaccato con successo.
L’attacco consiste nella sovrascrittura di codice maligno in alcune pagine del sito, tra le più colpite il file index.php che generalmente è la home page del sito/blog. Il risultato è che l’utente che visita il sito trova una pagina bianca.
Durante la notte sembra che si siano scatenati e stamattina 9 dei miei siti su circa 30 erano già stati “bucati”.
Mi sono chiesto come mai proprio quei 9 e non gli altri. Qual’è il criterio?
Forse la versione di Wordpress, oppure qualche plugin a rischio, o forse l’impostazione dei commenti…
Nulla di tutto questo, dalle mie verifiche è chiaro che il problema sia dato dalla combinazione Wordpress su server Aruba.

Non può essere soltanto una curiosa combinazione che soltanto quei 9 blog su aruba sono stati TUTTI attaccati dallo script maligno mentre gli altri blog residenti su altri hosting non sono stati minimamente colpiti.

In alcuni blog ho letto che soltanto wordpress 2.8.4 è vulnerabile ma nel mio caso non è così, infatti anche versioni precedenti hanno subito l’attacco con la sovrascrittura del codice maligno.

Non ho notato alcuna manomissione a password, profili utenti, e mysql.
Grazie ai consigli riportati in questa pagina ho già sistemato tutti i siti ma da parte di Aruba assitenza = 0.

Grazie alle informazioni pubblicate su questo blog sono riuscito a rimettere tutto su nel giro di 2 ore, ma vogliamo parlare del supporto tecnico di aruba?

Ho chiesto spiegazione via ticket e anche via telefono allo staff tecnico di Aruba in quale ha risposto di re-installare wordpress. Peccato che questo è solo un modo per farsi attaccare di nuovo, in quanto il problema sembra essere dovuto a falle di sicurezza del server e non di WP.

Ancora una volta verrebbe da dire Aruba che la sicurezza e il supporto di Aruba sono davvero terra terra. Esprimo un parere personale, in qualità di sfortunatissimo cliente di Aruba.

La domanda allo stato attuale sono due:
1. Come sono riusciti ad sovrascrivere il codice maligno lato web?
2. Come evitare che accada ancora?

Terrò questa pagina aggiornata man mano che vengo a conoscenza di ulteriori sviluppi.

Condividi questo articolo: