Säkerhetsutmaningar dyker upp överallt och den senaste hackaren har hittats utnyttjar en sårbarhet i ett plugin WordPress Dessutom är den utformad för att begränsa användarnas åtkomst till funktioner WordPress och bättre kontrollera sina behörigheter.
Om du har en blogg, webbutik eller en presentationssida WordPress och modulen PublishPress-funktioner, det är bra att kolla om inte in Dashboard → Users → All Users → Administrator, det finns inga användare som du inte känner och oftast med ett formulärnamn "wpuser_sdjf94fsld".
Jag stötte på detta hack på flera nätbutiker och jag kom snabbt fram till att deras enda gemensamma element är plugin PublishPress-funktioner, som presenterar en sårbarhet som tillåter tillägg av en användare med en rang på Administrator, utan behov av en standardregistreringsprocess.
På vissa sajter WordPress drabbade nöjde sig angriparna med att bara lägga till nya användare med rangen som administratorutan att orsaka någon skada. Eller så hade de inte tid.
Andra gjordes däremot omdirigeringar av WordPress Address (URL) och/eller Plats Address (URL) till externa sidor och troligen virus. Ett tecken på att de som inledde dessa attacker inte hade något emot det. Det är det bästa med säkerheten.
Naturligtvis är det inget nöje att vakna till att nätbutiken, hemsidan eller bloggen omdirigeras till andra webbadresser, men det goda är att den som tog kontrollen för tillfället inte har gjort någon annan skada. Typ, radera innehåll, injicera spamlänkar i hela databasen och andra galna saker. Jag vill inte ge idéer.
Hur löser vi säkerhetsproblemet om vi har påverkats av wpuser_ exploit on WordPress?
Vi tar scenariot där bloggen WordPress påverkades av hacket "wpuser_" och omdirigerades till en annan webbadress. Så tydligt kan du inte längre logga in och komma in i Dashboard.
1. Vi ansluter till databasen för den berörda webbplatsen. Via phpMyAdmin eller vilken hanteringsväg var och en har. Databasautentiseringsdata finns i filen wp-config.php.
define('DB_USER', 'user_blog');
define('DB_PASSWORD', 'passworddb');2. Slå samman i “wp_options"Och på kolumnen"optons_value"Vi ser till att det är rätt adress till vår webbplats på"siteurl"Och"home".
Härifrån omdirigeras den praktiskt taget till en annan adress. När du ändrar adressen till webbplatsen kommer den att vara tillgänglig igen.
3. Allt i "wp_options” vi kontrollerar att administratörens e-postadress inte heller har ändrats. Vi kollar på "admin_email”Att vara den rätte. Om det inte är rätt, ändrar vi det och skickar den legitima adressen. Här hittade jag"admin@example.com".
4. Gå till instrumentpanelen och gör det update brådskande plugin PublishPress-funktioner eller inaktivera den och ta bort den från servern.
5. i Dashboard → Users → All Users → Administrator vi tar bort olagliga användare med rangen som Administrator.
6. Vi ändrar lösenorden för legitima användare med rättigheter till Administrator och databaslösenord.
Det skulle vara tillrådligt att installera och konfigurera en säkerhetsmodul. Wordstängsel Säkerhet ger tillräckligt skydd i gratisversionen för sådana attacker.
Jag ägnade inte mycket tid åt att leta efter var sårbarheten fanns PublishPress-funktioner, men om du har infekterad webbplats med detta utnyttjande, kan hjälpa dig släng det. Kommentarer är öppna.
Se det här inlägget för mer om detta ämne: https://www.wordfence.com/blog/2021/12/massive-wordpress-attack-campaign/