MENU

    Nextgen gallery security issue – problema di sicurezza per nextgen

    0
    4412
    0
    Programmazione

    ITA

    Il mio sito è stato infettato, devo ancora approfondire, ma apparentemente se il folder contenitore delle immagini di next gen si trova fuori da upload e in chmod 777, 757 or 755 (la configurazione giusta dovrebbe essere 755) è possibile effettuare una code injection.

    Per questo sul mio sito erano presenti un po’ di file php (nella cartella gallery) con l’istruzione eval() al loro interno, e quindi nell’ordine era stato riscritto l’htaccess e poi veniva usato il server per mandare delle mail.

    La soluzione, da verificare completamente, è di spostare il default di caricamento di next gen in uploads/gallery  e di spostare la cartella gallery con le sottocartelle dentro uploads.

    Per evitare che i motori di ricerca mandino gli utenti a immagini che non esistono più è possibile editare l’.htaccess come segue

    RewriteRule ^wp-content/gallery/(.*)$ /wp-content/uploads/gallery/$1 [R=301,NC,L]

    bisogna poi lanciare un update da mySql per aggiornare il percorso delle immagini

    update wp_ngg_gallery set path = REPLACE(path, 'wp-content/gallery/', 'wp-content/uploads/gallery/');

    e chiedere una revisione dei link da parte dei motori di ricerca.

    ================================================================================

    ENG

    I guess I found out a security issue for next gen gallery: it seems that if the main folder (gallery) is outside uploads forlder some code can be injected. If you have your folder outside uploads check out any php file inside the directory gallery and it subdirectories. If you find any openit and check the code, you may find any <?php eval() code inside. Delete all those files, move by the configuration the default nexgen “gallery” folder inside uploads and move the folder itself. To avoid problems with the search engine you should also edit the .htaccess

    RewriteRule ^wp-content/gallery/(.*)$ /wp-content/uploads/gallery/$1 [R=301,NC,L]

    Launch an update on mySql server to update the path

    update wp_ngg_gallery set path = REPLACE(path, 'wp-content/gallery/', 'wp-content/uploads/gallery/');

    This should solve the problem.

    6914 Visualizzazioni totali 1 Visualizzazioni odierne
    Visualizzazioni: 3.809

    Leave a Comment!

    Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *