Bezpečnostní výzvy se objevují na každém kroku a nejnovější nález hackerů je zneužití zranitelnosti v pluginu WordPress která vyvrcholí, je navržena tak, aby omezila přístup uživatelů k možnostem WordPressu a lépe řídila jejich oprávnění.
Pokud máte blog, internetový obchod, prezentační web, na kterém běží WordPress a modul Možnosti PublishPress, je dobré se přihlásit, pokud ne Dashboard → Users → All Users → Administrator, uživatelé, které neznáte, se neobjevují a většinou s falešnými jmény “wpuser_sdjf94fsld“.
S tímto hackem jsem se setkal na několika internetových obchodech a rychle jsem dospěl k závěru, že jejich jediným společným prvkem je plugin Možnosti PublishPress, která představuje a zranitelnost, která umožňuje přidání uživatele s hodností správce, bez nutnosti standardního registračního procesu.
Na některých postižených webech WordPress se útočníci spokojili pouze s přidáním nových uživatelů s hodností správce, aniž by způsobili jakoukoli škodu. Nebo možná neměli čas.
Na druhou stranu byly hotové přesměrování adresy WordPress (URL) a/nebo Adresa webu (URL) na externí a pravděpodobně infikované stránky. Je to známka toho, že kdokoli zahájil tyto útoky, měl málo rozumu. To je nejlepší část tohoto bezpečnostního problému.
Samozřejmě není potěšením probudit se z toho, že internetový obchod, web nebo blog jsou přesměrovány na jiné webové adresy, ale dobré je, že ten, kdo převzal kontrolu, zatím žádnou jinou škodu nenapáchal. Gen, mazat obsah, vkládat spamové odkazy do celé databáze a další šílenosti. Nechci dávat nápady.
Jak vyřešíme bezpečnostní problém, pokud jsme byli ovlivněni exploitem wpuser_ na WordPress?
Bereme scénář, ve kterém byl blog WordPress ovlivněn hackem “wpuser_” a přesměrován na jinou webovou adresu. Je tedy jasné, že se již nemůžete přihlásit a dostat se na Dashboard.
1. Připojíme se k databázi dotčeného webu. Přes phpMyAdmin nebo jakou cestu správy má každý z nich. Autentizační data databáze se nacházejí v souboru wp-config.php.
define('DB_USER', 'user_blog');
define('DB_PASSWORD', 'passworddb');2. jdeme dovnitř “wp_options” a na koloně “optons_value” ujišťujeme se, že je to správná adresa našich webových stránek na adrese “siteurl” a “home“.
Odtud je prakticky provedeno přesměrování na jinou adresu. Poté, co změníte web s adresou webu, bude možné k němu znovu přistupovat.
3. Brzy se uvidíme “wp_options” zkontrolujeme, zda se nezměnila ani e-mailová adresa správce. Kontrolujeme na “admin_email” být ten správný. Pokud není správná, upravíme ji a předáme legitimní adresu. Tady jsem našel “[email protected]“.
4. Přejdeme na Dashboard a provedeme naléhavou aktualizaci pluginu Možnosti PublishPress nebo jej deaktivujeme a smažeme ze serveru.
5. V Dashboard → Users → All Users → Administrator mažeme nelegitimní uživatele s hodností správce.
6. Změníme hesla oprávněných uživatelů s právy Administrátora a heslo k databázi.
Bylo by vhodné nainstalovat a nakonfigurovat bezpečnostní modul. Zabezpečení Wordfence zajišťuje dostatečnou ochranu i ve verzi zdarma pro takové útoky.
Netrávil jsem příliš mnoho času hledáním, kde přesně je zranitelnost Možnosti PublishPress, ale pokud máte zavirovaný web s tímto exploitem, mohu vám pomoci abych se ho zbavil. Komentáře jsou otevřené.
Více na toto téma naleznete v tomto příspěvku: https://www.wordfence.com/blog/2021/12/massive-wordpress-attack-campaign/