Beveiligingsproblemen duiken overal op en de nieuwste hacker is gevonden misbruik maken van een kwetsbaarheid in een plug-in WordPress bovendien is het ontworpen om de toegang van gebruikers tot mogelijkheden te beperken WordPress en hun toestemmingen beter te beheren.
Als u een blog, een online winkel of een actieve presentatiesite heeft WordPress en de module PublicerenPersmogelijkheden, is het goed om te controleren of niet in Dashboard → Users → All Users → Administrator, er zijn geen gebruikers die u niet kent en meestal met een formuliernaam "wpuser_sdjf94fsld'.
Ik kwam deze hack tegen in verschillende online winkels en ik kwam al snel tot de conclusie dat hun enige gemeenschappelijke element de plug-in is PublicerenPersmogelijkheden, die een presenteert kwetsbaarheid die de toevoeging van een gebruiker met een rang van Administrator, zonder dat een standaard registratieproces nodig is.
Op sommige sites WordPress getroffen, waren de aanvallers tevreden met het toevoegen van nieuwe gebruikers met de rang van administrator, zonder enige schade aan te richten. Of misschien hadden ze geen tijd.
Anderen, aan de andere kant, werden gemaakt omleidingen van WordPress Addruk (URL) en / of Website Addruk (URL) naar externe pagina's en hoogstwaarschijnlijk virussen. Een teken dat degenen die deze aanvallen lanceerden er weinig verstand van hadden. Dat is het beste van beveiliging.
Natuurlijk is het geen plezier om wakker te worden dat de online winkel, website of blog wordt omgeleid naar andere webadressen, maar het mooie is dat op dit moment degene die de controle overnam, geen andere schade heeft aangericht. Soort, inhoud verwijderen, spamlinks in de hele database injecteren en andere gekke dingen. Ik wil geen ideeën geven.
Hoe lossen we het beveiligingsprobleem op als we zijn getroffen door de wpuser_ exploit on WordPress?
We nemen het scenario waarin de blog WordPress werd getroffen door de "wpuser_"-hack en werd doorgestuurd naar een ander webadres. U kunt dus duidelijk niet meer inloggen en in het Dashboard komen.
1. We maken verbinding met de database van de getroffen site. Via phpMyAdmin of welk beheerpad iedereen heeft. De database-authenticatiegegevens bevinden zich in het bestand wp-config.php.
define('DB_USER', 'user_blog');
define('DB_PASSWORD', 'passworddb');2. Samenvoegen in “wp_options"En op de kolom"optons_value"We zorgen ervoor dat dit het juiste adres van onze site is op"siteurl"En"home'.
Vanaf hier wordt het praktisch doorgestuurd naar een ander adres. Zodra u het adres van de website wijzigt, is deze weer toegankelijk.
3. Alles in “wp_options” we controleren of het e-mailadres van de beheerder ook niet is gewijzigd. Wij controleren bij "admin_email“Om de juiste te zijn. Als het niet het juiste adres is, passen we het aan en geven we het legitieme adres door. Hier vond ik "admin@example.com'.
4. Ga naar het Dashboard en doe het update dringende plug-in PublicerenPersmogelijkheden of schakel het uit en verwijder het van de server.
5. in Dashboard → Users → All Users → Administrator we verwijderen onwettige gebruikers met de rang van Administrator.
6. We wijzigen de wachtwoorden van legitieme gebruikers met rechten op: Administrator en databasewachtwoord.
Het is raadzaam om een beveiligingsmodule te installeren en configureren. Wordhek Beveiliging biedt in de gratis versie voldoende bescherming tegen dergelijke aanvallen.
Ik heb niet veel tijd besteed aan het zoeken naar waar de kwetsbaarheid zat PublicerenPersmogelijkheden, maar als je geïnfecteerde site met deze exploit, kan u helpen ontdoe je ervan. Reacties zijn geopend.
Zie dit bericht voor meer informatie over dit onderwerp: https://www.wordfence.com/blog/2021/12/massive-wordpress-attack-campaign/