Bezpečnostní výzvy se objevují všude a nejnovější hacker byl nalezen zneužití zranitelnosti v pluginu WordPress navíc je navržen tak, aby omezoval přístup uživatelů k funkcím WordPress a lépe kontrolovat jejich oprávnění.
Pokud máte blog, internetový obchod, provozujete prezentační stránky WordPress a modul Možnosti publikování, je dobré se přihlásit, pokud ne Dashboard
→ Users
→ All Users
→ Administrator
, neexistují žádní uživatelé, které neznáte a většinou s názvem formuláře "wpuser_sdjf94fsld
".
Na tento hack jsem narazil na několika internetových obchodech a rychle jsem došel k závěru, že jejich jediným společným prvkem je plugin Možnosti publikování, která představuje a zranitelnost, která umožňuje přidání uživatele s hodností Administrator, bez nutnosti standardního registračního procesu.
Na některých stránkách WordPress afectate, atacatorii s-au multumit doar sa adauge noii useri cu rang de administrator, fara sa faca stricaciuni. Sau poate nu au avut timp.
Jiné byly naopak vyrobeny přesměrování z WordPress AddSuroviny (URL) a / nebo Site AddSuroviny (URL) na externí stránky a s největší pravděpodobností viry. Znamení toho, že ti, kdo zahájili tyto útoky, neměli rozum. To je na bezpečnosti to nejlepší.
Samozřejmě není radostí budit se z toho, že je internetový obchod, web nebo blog přesměrován na jiné webové adresy, ale dobré na tom je, že kdo v tuto chvíli převzal kontrolu, žádnou jinou škodu nenapáchal. Něco jako mazání obsahu, vkládání spamových odkazů do celé databáze a další šílenosti. Nechci dávat nápady.
Jak vyřešíme problém se zabezpečením, pokud jsme byli ovlivněni exploitem wpuser_ on WordPress?
Bereme scénář, ve kterém je blog WordPress byl ovlivněn hackem "wpuser_" a přesměrován na jinou webovou adresu. Je tedy jasné, že se již nemůžete přihlásit a dostat se na Dashboard.
1. Připojíme se k databázi dotčeného webu. Přes phpMyAdmin nebo jakoukoli cestu správy, kterou má každý z nich. Autentizační data databáze se nacházejí v souboru wp-config.php
.
define('DB_USER', 'user_blog');
define('DB_PASSWORD', 'passworddb');
2. Sloučení v „wp_options
"A na koloně"optons_value
"Ujišťujeme se, že je to správná adresa našeho webu na"siteurl
"A"home
".
Odtud je prakticky přesměrován na jinou adresu. Jakmile změníte adresu webu, bude znovu přístupný.
3. Vše v “wp_options
„Zkontrolujeme, zda nebyla změněna také e-mailová adresa správce. Kontrolujeme na „admin_email
"Aby to byl ten pravý." Pokud není správná, upravíme ji a předáme legitimní adresu. Tady jsem našel"admin@example.com".
4. Přejděte na Dashboard a udělejte to update urgentní plugin Možnosti publikování nebo jej deaktivujte a odstraňte ze serveru.
5. V Dashboard
→ Users
→ All Users
→ Administrator
mažeme nelegitimní uživatele s hodností Administrator.
6. Změníme hesla oprávněných uživatelů s právy na Administrator a heslo k databázi.
Bylo by vhodné nainstalovat a nakonfigurovat bezpečnostní modul. WordZabezpečení plotu poskytuje dostatečnou ochranu v bezplatné verzi pro takové útoky.
Netrávil jsem moc času hledáním, kde je zranitelnost Možnosti publikování, ale pokud máte infikované stránky s tímto exploitem vám mohou pomoci zbav se toho. Komentáře jsou otevřené.
Více na toto téma naleznete v tomto příspěvku: https://www.wordfence.com/blog/2021/12/massive-wordpress-attack-campaign/