Provocari de securitate apar la tot pasul, iar cea mai recenta gaselnita a hackerilor este exploatarea unei vulnerabilitati intr-un plugin de WordPress care culmea, este conceput pentru a limita accesul utilizatorilor la capabilitatile WordPress si a controla mai bine permisiunile acestora.
Daca aveti un blog, magazin online, site de prezentare ce ruleaza WordPress si modulul PublishPress Capabilities, este bine sa verificati daca nu cumva in Dashboard
→ Users
→ All Users
→ Administrator
, nu apar si utilizatori pe care nu-i cunoasteti si de cele mai multe ori cu nume de forma “wpuser_sdjf94fsld
“.
Am intalnit acest hack pe mai multe magazine online si am ajuns repede la concluzia ca singurul lor element comun este plugin PublishPress Capabilities, care prezinta o vulnerabilitate ce permite adaugarea unui user cu rang de Administrator, fara sa fie nevoie de un proces de inregistrare standard.
Pe unele site-uri WordPress afectate, atacatorii s-au multumit doar sa adauge noii useri cu rang de administrator, fara sa faca stricaciuni. Sau poate nu au avut timp.
Pe altele in schimb, s-au facut redirectionari ale WordPress Address (URL) si / sau Site Address (URL) catre pagini externe si cel mai probabil virusate. Semn ca cine a lansat aceste atacuri a avut minte putina. Asta e partea cea mai buna a acestei probleme de securitate.
Desigur, nu este nici o placere sa te trezesti ca magazinul online, website-ul sau blogul sunt redirectionate catre alte adrese web, dar partea buna este aceea ca momenan cine a preluat controlul, nu a facut alte stricaciuni. Gen, sa sterga continut, sa injecteze link-uri de spam in toata baza de date si alte nebunii. Nu vreau sa dau idei.
Cum rezolvam problema de securitate daca am fost afectati de exploitul wpuser_ pe WordPress?
Luam scenariul in care blogul WordPress a fost afectat de hack-ul “wpuser_” si redirectionat catre o alta adresa web. Deci clar nu mai puteti sa va autentificati si sa ajungeti in Dashboard.
1. Ne conectam la baza de date a site-ului afectat. Via phpMyAdmin sau ce cale de management are fiecare. Datele de autentificare la baza de date sunt localizate in fisierul wp-config.php
.
define('DB_USER', 'user_blog');
define('DB_PASSWORD', 'passworddb');
2. Mergem in “wp_options
” iar pe coloana “optons_value
” ne asiguram ca este adresa corecta a site-ului nostru la “siteurl
” si “home
“.
De aici este practic facuta redirectionarea catre o alta adresa. Dupa ce schimbati la loc cu adresa website-ului, acesta va putea fi accesat din nou.
3. Tot in “wp_options
” verificam ca adresa de mail admin sa nu fi fost si ea modificata. Verificam la “admin_email
” sa fie cea corecta. Daca nu este cea corecta, o modificam si trecem adresa legitima. Aici am gasit “admin@example.com“.
4. Mergem in Dashboard si facem update urgent la plugin PublishPress Capabilities sau il dezactivam si stergem de pe server.
5. In Dashboard
→ Users
→ All Users
→ Administrator
stergem utilizatorii nelegitimi cu rang de Administrator.
6. Schimbam parolele utilizatorilor legitimi cu drepturi de Administrator si parola bazei de date.
Indicat ar fi sa instalati si sa configurati si un modul de securitate. Wordfence Security asigura protectie suficienta si in versiunea free, pentru astfel de atacuri.
Nu am stat sa caut prea mult unde a fost exact vulnerabilitatea din PublishPress Capabilities, insa daca aveti virusat site-ul cu acest exploit, va pot ajuta sa scapati de el. Comentariile sunt deschise.
See this post for more on this topic: https://www.wordfence.com/blog/2021/12/massive-wordpress-attack-campaign/