Bij elke stap duiken er beveiligingsuitdagingen op, en dat geldt ook voor de laatste vondst van hackers misbruik maken van een kwetsbaarheid in een WordPress-plug-in wat culmineert, is ontworpen om de toegang van gebruikers tot WordPress-mogelijkheden te beperken en hun rechten beter te controleren.

Als u een blog, online winkel of presentatiesite heeft met WordPress en de module PublishPress-mogelijkheden, het is goed om te controleren of u er niet bent Dashboard → Users → All Users → Administrator, verschijnen gebruikers die u niet kent niet en meestal met valse namen “wpuser_sdjf94fsld“.

Ik kwam deze hack tegen in verschillende online winkels en kwam al snel tot de conclusie dat hun enige gemeenschappelijke element de plug-in is PublishPress-mogelijkheden, die een presenteert kwetsbaarheid waarmee een gebruiker met de rang van beheerder kan worden toegevoegd, zonder de noodzaak van een standaard registratieproces.

Op sommige getroffen WordPress-sites konden de aanvallers alleen nieuwe gebruikers met de rang van beheerder toevoegen, zonder enige schade aan te richten. Of misschien hadden ze geen tijd.
Aan de andere kant waren ze klaar redirectionari al WordPress-adres (URL) en/of Locatieadres (URL) naar externe en hoogstwaarschijnlijk geïnfecteerde pagina's. Het is een teken dat degene die deze aanvallen lanceerde weinig verstand had. Dat is het beste deel van dit beveiligingsprobleem.
Natuurlijk is het geen plezier om wakker te worden dat de online winkel, website of blog wordt omgeleid naar andere webadressen, maar het mooie is dat degene die de controle overnam voorlopig geen andere schade heeft aangericht. Gen, om inhoud te verwijderen, om spamlinks in de hele database te injecteren en andere gekte. Ik wil geen ideeën geven.

Hoe lossen we het beveiligingsprobleem op als we getroffen worden door de wpuser_ exploit op WordPress?

We nemen het scenario waarin de WordPress-blog werd getroffen door de hack “wpuser_” en doorgestuurd naar een ander webadres. Het is dus duidelijk dat u niet langer kunt inloggen en naar het Dashboard kunt gaan.

1. We maken verbinding met de database van de getroffen site. Via phpMyAdmin of welk beheerpad iedereen heeft. De databaseverificatiegegevens bevinden zich in het bestand wp-config.php.

define('DB_USER', 'user_blog');
define('DB_PASSWORD', 'passworddb');

2. We gaan naar binnen “wp_options” en op de kolom “optons_value” wij zorgen ervoor dat het het juiste adres van onze website is “siteurl” en “home“.

Vanaf hier wordt de omleiding naar een ander adres praktisch gemaakt. Nadat u de site met het websiteadres heeft gewijzigd, is deze weer toegankelijk.

3. Tot in “wp_options” we controleren of het beheerders-e-mailadres ook niet is gewijzigd. Wij controleren bij “admin_email” om de juiste te zijn. Als het niet het juiste is, passen we het aan en geven we het legitieme adres door. Hier heb ik gevonden “[email protected]“.

4. We gaan naar het Dashboard en voeren een dringende update uit van de plug-in PublishPress-mogelijkheden of we schakelen het uit en verwijderen het van de server.

5. Binnen Dashboard → Users → All Users → Administrator we verwijderen onwettige gebruikers met de rang van beheerder.

6. We veranderen de wachtwoorden van legitieme gebruikers met beheerdersrechten en het databasewachtwoord.

Het is raadzaam om een ​​beveiligingsmodule te installeren en te configureren. Wordfence-beveiliging het biedt voldoende bescherming, zelfs in de gratis versie, tegen dergelijke aanvallen.

• WordPress Exploit – Opschonen van virusbestanden, SQL en serverbeveiliging.

Ik heb niet te veel tijd besteed aan het zoeken naar precies waar de kwetsbaarheid zat PublishPress-mogelijkheden, maar als je dat hebt Ik heb de site met deze exploit gevirusd, ik kan je helpen om van hem af te komen. Reacties zijn open.