Le sfide alla sicurezza appaiono ad ogni passo e l'ultima scoperta degli hacker lo è sfruttare una vulnerabilità in un plugin di WordPress che culmina, è progettato per limitare l'accesso degli utenti alle funzionalità di WordPress e controllare meglio le loro autorizzazioni.
Se hai un blog, un negozio online, un sito di presentazione che esegue WordPress e il modulo Funzionalità di pubblicazione stampa, è bene controllare se non è presente Dashboard → Users → All Users → Administrator, gli utenti che non conosci non compaiono e il più delle volte con nomi falsi “wpuser_sdjf94fsld“.
Ho riscontrato questo hack in diversi negozi online e sono giunto rapidamente alla conclusione che il loro unico elemento comune è il plugin Funzionalità di pubblicazione stampa, che presenta a vulnerabilità che consente di aggiungere un utente con il grado di Amministratore, senza la necessità di un processo di registrazione standard.
Su alcuni siti WordPress colpiti gli aggressori si sono accontentati di aggiungere nuovi utenti con il grado di amministratore, senza causare alcun danno. O forse non avevano tempo.
D'altra parte, avevano finito reindirizzamenti all'indirizzo WordPress (URL) e/o Indirizzo del sito (URL) a pagine esterne e molto probabilmente infette. È il segno che chi ha lanciato questi attentati aveva poco buon senso. Questa è la parte migliore di questo problema di sicurezza.
Certo, non fa piacere svegliarsi che il negozio online, il sito o il blog vengono reindirizzati ad altri indirizzi web, ma il bello è che per il momento chi ha preso il controllo non ha fatto altri danni. Gen, per eliminare contenuti, per inserire collegamenti spam nell'intero database e altre follie. Non voglio dare idee.
Come risolviamo il problema di sicurezza se venissimo colpiti dall'exploit wpuser_ su WordPress?
Prendiamo lo scenario in cui il blog WordPress è stato colpito dall'hacking “wpuser_” e reindirizzato a un altro indirizzo web. Quindi chiaramente non puoi più accedere e accedere alla Dashboard.
1. Ci colleghiamo al database del sito interessato. Tramite phpMyAdmin o quale percorso di gestione ha ciascuno. I dati di autenticazione del database si trovano nel file wp-config.php.
define('DB_USER', 'user_blog');
define('DB_PASSWORD', 'passworddb');2. Entriamo “wp_options” e sulla colonna “optons_value” ci assicuriamo che sia l'indirizzo corretto del nostro sito web all'indirizzo “siteurl” E “home“.
Da qui viene praticamente effettuato il reindirizzamento verso un altro indirizzo. Dopo aver modificato il sito con l'indirizzo del sito Web, sarà possibile accedervi nuovamente.
3. A presto “wp_options” controlliamo che anche l'indirizzo email dell'amministratore non sia stato modificato. Controlliamo a “admin_email” essere quello corretto. Se non è quello corretto, lo modifichiamo e trasmettiamo l'indirizzo legittimo. Qui ho trovato “[email protected]“.
4. Andiamo alla Dashboard e apportiamo un aggiornamento urgente al plugin Funzionalità di pubblicazione stampa oppure lo disabilitiamo e lo eliminiamo dal server.
5. Dentro Dashboard → Users → All Users → Administrator eliminiamo gli utenti illegittimi con grado di Amministratore.
6. Modifichiamo le password degli utenti legittimi con diritti di amministratore e la password del database.
Sarebbe opportuno installare e configurare un modulo di sicurezza. Sicurezza di Wordfence fornisce una protezione sufficiente anche nella versione gratuita per tali attacchi.
Non ho passato troppo tempo a cercare esattamente dove fosse la vulnerabilità Funzionalità di pubblicazione stampa, ma se hai ha infettato il sito con questo exploit, posso aiutarti per sbarazzarsi di lui. I commenti sono aperti.
Vedi questo post per ulteriori informazioni su questo argomento: https://www.wordfence.com/blog/2021/12/massive-wordpress-attack-campaign/