Безбедносни изазови се појављују свуда, а најновији хакер је пронађен искоришћавање рањивости у додатку WordPress поврх тога, дизајниран је да ограничи приступ могућностима корисника WordPress и боље контролишу њихове дозволе.
Ако имате блог, онлајн продавницу, веб локацију за презентацију WordPress и модул ПублисхПресс могућности, добро је проверити ако није у Dashboard → Users → All Users → Administrator, нема корисника које не познајете и већину времена са именом обрасца "wpuser_sdjf94fsld".
Наишао сам на овај хак у неколико онлајн продавница и брзо сам дошао до закључка да је њихов једини заједнички елемент додатак ПублисхПресс могућности, који представља а рањивост која омогућава додавање корисника са рангом од Administrator, без потребе за стандардним процесом регистрације.
На неким сајтовима WordPress погођени, нападачи су били задовољни само додавањем нових корисника са рангом administrator, без наношења штете. Или можда нису имали времена.
Други су, пак, направљени преусмерава на WordPress Addресс (УРЛ) и/или Сајт Addресс (УРЛ) на спољне странице и највероватније вирусе. Знак да они који су покренули ове нападе нису имали памети. То је најбољи део безбедности.
Наравно, није задовољство пробудити се да се интернет продавница, веб страница или блог преусмеравају на друге веб адресе, али добро је то што у овом тренутку ко год је преузео контролу, није направио никакву другу штету. Некако, брисање садржаја, убацивање нежељених линкова у целу базу података и друге луде ствари. Не желим да дајем идеје.
Како да решимо безбедносни проблем ако је на нас утицао впусер_ екплоит он WordPress?
Узимамо сценарио у којем је блог WordPress је погођен хаком „впусер_“ и преусмерен на другу веб адресу. Дакле, јасно је да више не можете да се пријавите и уђете у контролну таблу.
1. Повезујемо се са базом података погођене локације. Преко пхпМиАдмин-а или било које друге путање управљања. Подаци за аутентификацију базе података налазе се у датотеци wp-config.php.
define('DB_USER', 'user_blog');
define('DB_PASSWORD', 'passworddb');2. Мергем у „wp_options"И на колони"optons_value„Уверавамо се да је то тачна адреса нашег сајта на“siteurl"И"home".
Одавде се практично преусмерава на другу адресу. Када промените адресу веб-сајта, поново ће бити доступна.
3. Све у “wp_options„Проверавамо да и адреса е-поште администратора није промењена. Проверавамо на „admin_email„Да будем прави. Ако није тачна, мењамо је и прослеђујемо легитимну адресу. Овде сам нашао "админ@екампле.цом".
4. Идите на контролну таблу и урадите то update хитни додатак ПублисхПресс могућности или га онемогућите и избришите са сервера.
КСНУМКС. У Dashboard → Users → All Users → Administrator бришемо нелегитимне кориснике са рангом Administrator.
6. Ми мењамо лозинке легитимних корисника са правима на Administrator и лозинку базе података.
Било би препоручљиво инсталирати и конфигурисати сигурносни модул. Wordограда Безбедност пружа довољну заштиту у бесплатној верзији за такве нападе.
Нисам провео много времена тражећи где је рањивост ПублисхПресс могућности, али ако имате заражени сајт са овим експлоатацијом, може вам помоћи отарасити. Коментари су отворени.
Погледајте овај пост за више о овој теми: https://www.wordfence.com/blog/2021/12/massive-wordpress-attack-campaign/