WordPress e il reset della password admin da remoto

Questo è un post tecnico di 8 anni fa. Le istruzioni potrebbero non essere più valide.

Se avete installato WordPress 2.8.3, sappiate che siete affetti da una vulnerabilità pericolosa: chiunque può resettarvi la vostra password di amministrazione semplicemente inserendo un preciso link nel suo browser e questo senza che, ovviamente, il tizio sia autenticato in alcun modo.

Diciamo subito che la vulnerabilità è già stata corretta e pronta nella 2.8.4, rilasciata a distanza di pochi giorni, dunque, dalla 2.8.3. Una versione che non ha avuto pace, ma si sa che qualunque codice eseguibile soffre di bug non ancora scoperti.

È successo anche a me ieri sera, come ad altri blogger, di venir avvisati della nuova password. Con sorpresa massima mi chiedevo cosa fosse quella mail, dato che non ne avevo mai viste. Panico! Ma dopo essermi ripreso dal momentaneo smarrimento, ecco spiegato cosa avviene.

Come funziona il reset della password in WordPress

Quando volete resettare la vostra password per un motivo qualsiasi, basta andare nel proprio blog all’URL
http://domain.tld/wp-login.php?action=lostpassword
e dopo aver inserito la vostra email o il vostro ID premere il pulsante apposito. Vi arriverà una mail di conferma e se fate clic sul link contenuto la password verrà resettata, altrimenti tutto rimarrà come prima. Se avrete optato per la modifica, vi giungerà poi una seconda email con l’ID di login e la nuova password.

Cosa avviene con questa vulnerabilità

Con questa vulnerabilità presente, chiunque da remoto inserica un indirizzo ben costruito che punti al vostro dominio, vi resetterà la password, senza che vi giunga la mail di conferma. Vi arriverà invece direttamente la seconda email, quella con le nuove credenziali.

Anche se lo stupido di turno non viene a conoscenza delle vostre credenziali, la cosa è quantomeno fastidiosa perché potrebbe resettare comunque in continuazione i dati di accesso, impedendovi ogni volta l’ingresso nel backend (la bacheca di WordPress, per intenderci).

Cosa fare

Stanno arrivando nelle varie bacheche gli avvisi del nuovo rilascio 2.8.4. Nel frattempo potete sostituire anche solo il file wp-login.php che sta nella directory principale di WordPress. Lo potete recuperare da SVN, digitando nel terminale la riga:

svn co http://core.svn.wordpress.org/trunk/ .

Prelevate quindi il file wp-login.php e sostituitelo a quello della vostra installazione.

I file modificati nella 2.8.4 internazionale sono solo i seguenti:

wp-includes/version.php
readme.html
wp-login.php

Autore: Aldo Latino

Aldo Latino usa con entusiasmo Linux nella distribuzione Ubuntu, è un appassionato di WordPress e si diletta a fare il blogger. Ha anche una lista dei desideri. Per altre informazioni visita la sua .

Un pensiero riguardo “WordPress e il reset della password admin da remoto”

I commenti sono chiusi