Os desafios de segurança aparecem a cada passo, e a última descoberta de hackers é explorando uma vulnerabilidade em um plugin do WordPress que culmina, foi projetado para limitar o acesso dos usuários aos recursos do WordPress e controlar melhor suas permissões.

Se você tem um blog, loja online, site de apresentação rodando WordPress e o módulo Capacidades do PublishPress, é bom verificar se não estiver em Dashboard → Users → All Users → Administrator, usuários que você não conhece não aparecem e na maioria das vezes com nomes falsos “wpuser_sdjf94fsld“.

Encontrei esse hack em várias lojas online e rapidamente cheguei à conclusão de que o único elemento comum é o plugin Capacidades do PublishPress, que apresenta uma vulnerabilidade que permite adicionar um usuário com a classificação de Administrador, sem a necessidade de um processo de registro padrão.

Em alguns sites WordPress afetados, os invasores se contentaram apenas em adicionar novos usuários com classificação de administrador, sem causar nenhum dano. Ou talvez eles não tivessem tempo.
Por outro lado, eles terminaram redirecionar seu endereço WordPress (URL) e/ou Endereço do site (URL) para páginas externas e provavelmente infectadas. É um sinal de que quem quer que tenha lançado estes ataques teve pouco juízo. Essa é a melhor parte desta questão de segurança.
Claro que não é nenhum prazer acordar que a loja online, site ou blog são redirecionados para outros endereços web, mas o bom é que por enquanto quem assumiu o controle não causou nenhum outro dano. Gen, para deletar conteúdo, para injetar links de spam em todo o banco de dados e outras loucuras. Não quero dar ideias.

Como resolveremos o problema de segurança se formos afetados pela exploração wpuser_ no WordPress?

Pegamos o cenário em que o blog WordPress foi afetado pelo hack “wpuser_” e redirecionado para outro endereço da web. Claramente você não pode mais fazer login e acessar o Dashboard.

1. Nós nos conectamos ao banco de dados do site afetado. Via phpMyAdmin ou qual caminho de gerenciamento cada um possui. Os dados de autenticação do banco de dados estão localizados no arquivo wp-config.php.

define('DB_USER', 'user_blog');
define('DB_PASSWORD', 'passworddb');

2. Entramos “wp_options” e na coluna “optons_value” garantimos que é o endereço correto do nosso site em “siteurl” e “home“.

A partir daqui o redirecionamento para outro endereço é praticamente feito. Após alterar o site com o endereço do site, ele poderá ser acessado novamente.

3. Até breve “wp_options” verificamos se o endereço de e-mail do administrador também não foi alterado. Verificamos em “admin_email” para ser o correto. Se não for o correto, modificamos e passamos o endereço legítimo. Aqui eu encontrei “[email protected]“.

4. Vamos ao Dashboard e fazemos uma atualização urgente do plugin Capacidades do PublishPress ou nós o desabilitamos e excluímos do servidor.

5. Em Dashboard → Users → All Users → Administrator excluímos usuários ilegítimos com classificação de administrador.

6. Alteramos as senhas de usuários legítimos com direitos de administrador e a senha do banco de dados.

Seria aconselhável instalar e configurar um módulo de segurança. Segurança Wordfence garante proteção suficiente, mesmo na versão gratuita, para tais ataques.

• WordPress Explorit - Limpando arquivos de vírus, SQL e segurança do servidor.

Não perdi muito tempo procurando exatamente onde estava a vulnerabilidade Capacidades do PublishPress, mas se você tiver vírusu o site com esse exploit, posso te ajudar para se livrar dele. Os comentários estão abertos.