Navigation Menu+

Nextgen gallery security issue – problema di sicurezza per nextgen

Scritto di 13 Novembre 2014 da

ITA

Il mio sito è stato infettato, devo ancora approfondire, ma apparentemente se il folder contenitore delle immagini di next gen si trova fuori da upload e in chmod 777, 757 or 755 (la configurazione giusta dovrebbe essere 755) è possibile effettuare una code injection.

Per questo sul mio sito erano presenti un po’ di file php (nella cartella gallery) con l’istruzione eval() al loro interno, e quindi nell’ordine era stato riscritto l’htaccess e poi veniva usato il server per mandare delle mail.

La soluzione, da verificare completamente, è di spostare il default di caricamento di next gen in uploads/gallery  e di spostare la cartella gallery con le sottocartelle dentro uploads.

Per evitare che i motori di ricerca mandino gli utenti a immagini che non esistono più è possibile editare l’.htaccess come segue

RewriteRule ^wp-content/gallery/(.*)$ /wp-content/uploads/gallery/$1 [R=301,NC,L]

bisogna poi lanciare un update da mySql per aggiornare il percorso delle immagini

update wp_ngg_gallery set path = REPLACE(path, 'wp-content/gallery/', 'wp-content/uploads/gallery/');

e chiedere una revisione dei link da parte dei motori di ricerca.

================================================================================

ENG

I guess I found out a security issue for next gen gallery: it seems that if the main folder (gallery) is outside uploads forlder some code can be injected. If you have your folder outside uploads check out any php file inside the directory gallery and it subdirectories. If you find any openit and check the code, you may find any <?php eval() code inside. Delete all those files, move by the configuration the default nexgen “gallery” folder inside uploads and move the folder itself. To avoid problems with the search engine you should also edit the .htaccess

RewriteRule ^wp-content/gallery/(.*)$ /wp-content/uploads/gallery/$1 [R=301,NC,L]

Launch an update on mySql server to update the path

update wp_ngg_gallery set path = REPLACE(path, 'wp-content/gallery/', 'wp-content/uploads/gallery/');

This should solve the problem.

2995 Visualizzazioni totali 1 Visualizzazioni odierne

Qualcosa da dire

Ho scritto delle idiozie? Ho commesso un errore di ortografia? Ti ho offeso, o ho pubblicato qualcosa che non vorresti? Hai qualcosa da aggiungere?
Scrivimi :)

*