Предизвикателствата за сигурността се появяват на всяка крачка и последната находка на хакер е използване на уязвимост в плъгин на WordPress който кулминира, е предназначен да ограничи достъпа на потребителите до възможностите на WordPress и да контролира по-добре техните разрешения.
Ако имате блог, онлайн магазин, презентационен сайт, работещ с WordPress и модула Възможности на PublishPress, добре е да проверите, ако не сте влезли Dashboard → Users → All Users → Administrator, потребители, които не познавате, не се появяват и през повечето време с фалшиви имена “wpuser_sdjf94fsld“.
Срещнах този хак в няколко онлайн магазина и бързо стигнах до заключението, че единственият им общ елемент е плъгинът Възможности на PublishPress, който представя a уязвимост, която позволява добавяне на потребител с ранг на администратор, без да е необходим стандартен процес на регистрация.
На някои засегнати WordPress сайтове нападателите се задоволиха само да добавят нови потребители с ранг на администратор, без да нанасят никакви щети. Или може би не са имали време.
От друга страна, те бяха готови пренасочване на адрес на WordPress (URL) и/или Адрес на сайта (URL) към външни и най-вероятно заразени страници. Това е знак, че който и да е започнал тези атаки, е имал малко разум. Това е най-добрата част от проблема със сигурността.
Разбира се, не е приятно да се събудите, че онлайн магазинът, уебсайтът или блогът са пренасочени към други уеб адреси, но добрата част е, че за момента този, който е поел контрола, не е нанесъл други щети. Gen, за изтриване на съдържание, за инжектиране на спам връзки в цялата база данни и други щуротии. Не искам да давам идеи.
Как да разрешим проблема със сигурността, ако бяхме засегнати от експлойта wpuser_ на WordPress?
Ние приемаме сценария, при който блогът на WordPress е бил засегнат от хакването “wpuser_” и пренасочен към друг уеб адрес. Толкова ясно, че вече не можете да влезете и да стигнете до таблото за управление.
1. Свързваме се с базата данни на засегнатия сайт. Чрез phpMyAdmin или какъв път за управление има всеки от тях. Данните за удостоверяване на базата данни се намират във файла wp-config.php.
define('DB_USER', 'user_blog');
define('DB_PASSWORD', 'passworddb');2. Влизаме “wp_options” и на колоната “optons_value” ние се уверяваме, че това е правилният адрес на нашия уебсайт на адрес “siteurl” и “home“.
От тук на практика се прави пренасочването към друг адрес. След като промените сайта с адреса на уебсайта, той ще може да бъде достъпен отново.
3. Ще се видим скоро “wp_options” проверяваме дали имейл адресът на администратора също не е променен. Проверяваме при “admin_email” да бъде правилният. Ако не е правилният, ние го променяме и предаваме легитимния адрес. Ето намерих “[email protected]“.
4. Отиваме в таблото за управление и правим спешна актуализация на плъгина Възможности на PublishPress или го деактивираме и го изтриваме от сървъра.
5. В Dashboard → Users → All Users → Administrator изтриваме нелегитимни потребители с ранг на администратор.
6. Променяме паролите на легитимни потребители с права на администратор и паролата на базата данни.
Би било препоръчително да инсталирате и конфигурирате модул за сигурност. Сигурност на Wordfence осигурява достатъчна защита дори в безплатната версия за подобни атаки.
Не прекарах твърде много време в търсене къде точно е уязвимостта Възможности на PublishPress, но ако имате вирусирах сайта с този експлойт, мога да ви помогна да се отърва от него. Коментарите са отворени.
Вижте тази публикация за повече по тази тема: https://www.wordfence.com/blog/2021/12/massive-wordpress-attack-campaign/