Le versioni vulnerabili di WordPress sono quelle precedenti alla 2.8.4 pertanto è consigliato aggiornarlo a quest’ultima versione e l’infezione sta nel creare un amministratore fantasma, quindi di aprire il proprio blog a qualsiasi altro tipo di abuso.
I sintomi dell’attacco sono: la presenza nei permalink di una strana stringa di codice, ad esempio http://www.sito.com/2009/09/05/titolo-post/%&(%7B$%7Beval(base64_decode($_SERVER%5BHTTP_REFERER%5D))%7D%7D|.+)&%/, o altre similari che abbiano comunque al loro interno il termine eval e/o il termine base64_decode e la presenza di un utente amministratore con nomi strani tipo Administrator(2) che risulta impossibile cancellare.
A volte però può non essere necessario solo aggiornare la versione di WP, ma la soluzione più sicura è l’esportazione dei dati tramite le funzioni di export di WP la reinstallazione di WP su un database pulito e vuoto e la successiva reimportazione dei contenuti.
