В Wordpress, популярном движке для ведения блога, обнаружена критическая уязвимость. Она позволяет злоумышленнику получить полный контроль над скомпрометированным сайтом: в блоге регистрируется новый пользователь, а затем ему предоставляются права администратора. В числе пострадавших сайты многих известнейших блогеров — Роберта Скоббла (http://scobleizer.com), IT-обозревателя Энди Игнатко (http://ihnatko.com/) и др.

Уязвимы все версии Wordpress за исключением последней — 2.8.4. Существует несколько признаков, по которым можно судить, взломан блог или нет: это появление нового администратора (Administrator (2), Administrator Wordpress и т.п.), а также изменение структуры постоянных ссылок (permalinks). Отметим, что червь использует JavaScript, чтобы скрыть следы взлома. Так что «левых» админов пользователь может и не увидеть.

Чтобы удостовериться в безопасности wordpress-блога, эксперты советуют изучать базу данных: нужно искать строку setUserName в таблице wp_usermeta (пример «левого» кода) и изучить записи в таблице wp_options (пример посторонней записи). Еще о проверке БД можно прочесть здесь.

Если блог уже скомпрометирован, то простого обновления до версии 2.8.4 недостаточно. Потребуется экспортировать записи и комментарии, используя инструмент XML WordPress Export и удалить все файлы на сервере (кроме картинок и видео). Затем нужно сделать чистую установку WP. Важный момент: если блог взломан, то нельзя экспортировать БД.

Wordpress — одна из самых распространенных платформ веб-публикации. Она используется как популярными блогами, так и СМИ. Уязвимости в WP появляются довольно часто и единственный способ избежать проблем — это своевременно обновляться и не забывать делать резервные копии.

Cсылки по теме:

• How to Keep WordPress Secure — Блог разработчиков Wordpress
• Old WordPress Versions Under Attack — Lorelle (eng.)
• How To Completely Clean Your Hacked WordPress Installation — smackdown (eng.)