Home › Forum › Problemi Vari con WP › WP 2.6 XXL : PROBLEMI DI SICUREZZA
-
AutorePost
-
-
1 Agosto 2008 alle 13:41 #7485saitekPartecipante
Salve,
dove lavoro abbiamo deciso di installare la piattaforma wordpress per supportare la nostra
attività . La piattaforma è stata installata presso la web agency che si occupa del sito
aziendale, ed è stata loro fornita da me (non sapevano manco che fosse wp. L’unica modifica effettuata da me
alla configurazione originale è la modifica delle immagini nel template di default. I plugin sono disattivati.
Ed ecco l’email che ho ricevuto da loro poco dopo:
Abbiamo simulato un attacco a partire dal blog e le notizie non sono buone….
Cosଠcom’è configurato ci sono molti problemi di sicurezza in quanto è possibile fare l’upload di file php ed eseguirli chiamandoli direttamente dall’URL.
Se ci mettono una shell php in pochi minuti possono danneggiare l’intera macchina.
Riesci a configurarlo in modo da metterlo in sicurezza?
Fammi sapere urgentemente perché cosଠnon possiamo pubblicarloL
Ciao
Considerando che cosଠcome è configurato WP è solo un giornale, l’unica interazione degli utenti è lasciare un commento, quello che mi chiedo è se mi stanno prendendo per il culo!
Che dite?
-
1 Agosto 2008 alle 13:57 #56481SteveAglAmministratore del forum
Che non capiscono nulla… esplichino il problema con un esempio pratico, e mentre glielo chiedi, magari informarli che c’è qualche milione di blog con wordpress al mondo e che wordpress.com ha qualche milione di blog da sola…
Scommetto che loro avevano la loro soluzione da pagare profumatamente e che non son riusciti a vendervi.
-
1 Agosto 2008 alle 14:45 #56482saitekPartecipante
Che non capiscono nulla… esplichino il problema con un esempio pratico, e mentre glielo chiedi, magari informarli che c’è qualche milione di blog con wordpress al mondo e che wordpress.com ha qualche milione di blog da sola…
Scommetto che loro avevano la loro soluzione da pagare profumatamente e che non son riusciti a vendervi.
Esatto!
-
1 Agosto 2008 alle 15:40 #56483wollyAmministratore del forum
spostate tutto su un altro server dove ci sia gente per bene e competente, personalemente chiederei chi è il loro sysadmin e verificherei le competenze.
-
1 Agosto 2008 alle 15:42 #56484wollyAmministratore del forum
p.s: puoi dirgli per esempio che il new york times usa wordpress visto che si parla di giornali oltre a qualche altra piccola società tipo yahoo o per rimanere in italia, repubblica, il giornale, la fiat etc.
ciao
-
5 Agosto 2008 alle 14:25 #56531saitekPartecipante
Stamattina ho contattato la responsabile marketing dell’azienda dove lavoro per sapere
come mai il blog non era ancora visibile, ed ecco la risposta:
Ho sentito xxxxxx stamattina e dice ke stanno facendo altri test di attaccabilità .
Chiamala anche tu e convincila che è sicuro oppure proponi un altro tipo di blog.
fai qualcosa, please.
Accattoni, paghiamo 16000 euro l’anno per uno schifo di restyle del sito e vogliono altri soldi,
proporrò un’altra web agency appena possibile!
-
5 Agosto 2008 alle 14:54 #56533wollyAmministratore del forum
nella tua azienda ci sarà un responsabile, qualcuno che prende le decisioni, parla con lui/lei spiegagli come stanno le cose, spiegagli cosà¬è wordpress spiegagli che milioni di siti usano wordpress e che lo usano le più grandi aziende al mondo se poi preferisce farsi fregare i soldi la responsabilità è sua.
ciao
-
5 Agosto 2008 alle 15:01 #56534LKPartecipante
Considerando che cosଠcome è configurato WP è solo un giornale, l’unica interazione degli utenti è lasciare un commento, quello che mi chiedo è se mi stanno prendendo per il culo!
Che dite?
Guarda… Se veramente hanno trovato una vulnerabilità sarebbero da encomio…
Più semplicemente hanno CREATO un template vulnerabile e provano a mettertelo dove il sole batte di rado.
Mi occupo di sicurezza informatica da una vita, se vuoi una mano per mettermi in mezzo a titolo gratuito e sputtanarli sono qui.
Se vuoi sapere chi sono: http://www.matteoflora.com
Se vuoi i contatti (compreso il cellulare) sono qui: http://www.lastknight.com/contatti
Vedrai che con una bella figura di merda tornano buoni buonini a casa con la coda tra le gambe.
M.
-
5 Agosto 2008 alle 15:05 #56535wollyAmministratore del forum
lol mi hanno fatto incazzare il matteo, non vorrei essere nei loro panni
Saitek se vuoi un buon consiglio, contatta subito matteo lo sputtanamento per la web agency è ASSICURATO.
ciao
-
6 Agosto 2008 alle 8:54 #56545saitekPartecipante
Guarda… Se veramente hanno trovato una vulnerabilità sarebbero da encomio…
Più semplicemente hanno CREATO un template vulnerabile e provano a mettertelo dove il sole batte di rado.
Mi occupo di sicurezza informatica da una vita, se vuoi una mano per mettermi in mezzo a titolo gratuito e sputtanarli sono qui.
Se vuoi sapere chi sono: http://www.matteoflora.com
Se vuoi i contatti (compreso il cellulare) sono qui: http://www.lastknight.com/contatti
Vedrai che con una bella figura di merda tornano buoni buonini a casa con la coda tra le gambe.
M.
Ciao Matteo, grazie della disponibilità , ne terrò conto.
Guarda l’ennesima risposta che mi hanno dato:
I “furboni” possono inviare codice PHP mascherato come file jpeg nella directory di upload e “piallare” tutta la macchina.
Questo è un baco di cui abbiamo avuto riscontro anche su diversi blog sparsi per il web…
Porta pazienza…. stiamo lavorando per mettere tutto in sucurezza…
Ciao
xxxxxx
Per wolly:
sono io il responsabile, devo solo darne conto al grande capo. Non sanno ancora che il loro futuro con noi dipende solo da me. Il problema è che prima del mio arrivo questi facevano i loro comodi con l’azienda, e ora il fatto che ci sto io a dare una regolata a questo settore (viste le enormi spese che stavano sostendendo) è stata una botta in fronte per loro.
Ciao
-
6 Agosto 2008 alle 9:22 #56547wollyAmministratore del forum
Per wolly:
sono io il responsabile, devo solo darne conto al grande capo. Non sanno ancora che il loro futuro con noi dipende solo da me. Il problema è che prima del mio arrivo questi facevano i loro comodi con l’azienda, e ora il fatto che ci sto io a dare una regolata a questo settore (viste le enormi spese che stavano sostendendo) è stata una botta in fronte per loro.
Ciao
Allora fai molta attenzione perchè quelli l’hanno capito e stanno cercando di metterti in cattiva luce.
E ti suggerisco di trovare altro hosting perchè stai tranquillo che appena partirà il blog dopo poco tempo ci sarà un enorme problema ai server e la colpa della perdita dei dati di tutto il server sarà di wordpress e quindi tua.
Conosco questi comportamenti
ciao
-
6 Agosto 2008 alle 9:52 #56551SteveAglAmministratore del forum
I “furboni” possono inviare codice PHP mascherato come file jpeg nella directory di upload e “piallare” tutta la macchina.
Questo è un baco di cui abbiamo avuto riscontro anche su diversi blog sparsi per il web…
Porta pazienza…. stiamo lavorando per mettere tutto in sucurezza…
Ciao
xxxxxx
Digli che i furboni per fare questo devono essere utenti loggati ed autenticati al blog nel lato amministrativo… se no spieghino loro come fanno a farlo accedendo al blog da semplici lettori. Puoi dirgli che un utente admin può persino cancellare tutto… che roba eh! Loro sui loro sistemi come fanno i loro dipendenti non si loggano esiste solo una persona iperaffidabile che gestisce le loro macchine? Suvvia.. le sparino meno grosse e meno da furboni!
PS: Chiedigli di prendere il nostro blog e caricare una immagine qualsiasi sul mio spazio… visto che sono cosଠbravi!
-
6 Agosto 2008 alle 10:23 #56554saitekPartecipante
Digli che i furboni per fare questo devono essere utenti loggati ed autenticati al blog nel lato amministrativo… se no spieghino loro come fanno a farlo accedendo al blog da semplici lettori. Puoi dirgli che un utente admin può persino cancellare tutto… che roba eh! Loro sui loro sistemi come fanno i loro dipendenti non si loggano esiste solo una persona iperaffidabile che gestisce le loro macchine? Suvvia.. le sparino meno grosse e meno da furboni!
PS: Chiedigli di prendere il nostro blog e caricare una immagine qualsiasi sul mio spazio… visto che sono cosଠbravi!
Già fatto, vediamo cosa rispondono ora. Sta cosa sta per arrecarci un danno economico, in quanto fra qualche giorno c’è la pubblicazione dell’apertura del blog su alcune riviste nazioniali, è possibile denunciarli? Noi paghiamo per un hosting che non possiamo usare -.- .
Grazie di tutto.
Enzo
-
6 Agosto 2008 alle 10:26 #56555wollyAmministratore del forum
trasferisci immediatamente dominio ed hosting ad altro server.
Una causa per danni è lunga e costosissima.
-
6 Agosto 2008 alle 10:28 #56556saitekPartecipante
Allora fai molta attenzione perchè quelli l’hanno capito e stanno cercando di metterti in cattiva luce.
E ti suggerisco di trovare altro hosting perchè stai tranquillo che appena partirà il blog dopo poco tempo ci sarà un enorme problema ai server e la colpa della perdita dei dati di tutto il server sarà di wordpress e quindi tua.
Conosco questi comportamenti
ciao
Wolly non penso, io ho fatto installare loro la piattaforma, noi ci siamo limitati a caricare il template e cambiare alcune impostazioni. Noi abbiamo un hosting (con tanto spazio web, mysql, etc etc.) ma non possiamo caricarci nulla senza passare prima da loro.
Cmq ho richiesto la delega di un sottodominio, e temporaneamente sposto tutto in azienda. A settembre se le cose continuano cosଠregistreremo un nuovo dominio.
Ciao
-
-
AutorePost
- Devi essere connesso per rispondere a questo topic.