Os desafios de segurança estão surgindo em todos os lugares, e o hacker mais recente foi encontrado explorando uma vulnerabilidade em um plugin WordPress além disso, foi projetado para limitar o acesso dos usuários aos recursos WordPress e controlar melhor suas permissões.
Se você tem um blog, loja online, site de apresentação em execução WordPress e o módulo Recursos do PublishPress, é bom verificar se não está em Dashboard → Users → All Users → Administrator, não há usuários que você não conhece e na maioria das vezes com um nome de formulário "wpuser_sdjf94fsld".
Eu me deparei com esse hack em várias lojas online e rapidamente cheguei à conclusão de que seu único elemento comum é o plugin Recursos do PublishPress, que apresenta um vulnerabilidade que permite a adição de um usuário com uma classificação de Administrator, sem a necessidade de um processo de registro padrão.
Em alguns sites WordPress afetados, os invasores se contentaram em apenas adicionar novos usuários com a classificação de administrator, sem causar nenhum dano. Ou talvez não tivessem tempo.
Outros, por outro lado, foram feitos redirecionamentos de WordPress Address (URL) e / ou Local Address (URL) para páginas externas e provavelmente vírus. Um sinal de que aqueles que lançaram esses ataques pouco se importaram. Essa é a melhor parte da segurança.
Claro, não é um prazer acordar que a loja online, o site ou o blog são redirecionados para outros endereços da web, mas o bom é que, no momento, quem assumiu o controle não fez nenhum outro dano. Tipo, deletar conteúdo, injetar links de spam em todo o banco de dados e outras coisas malucas. Não quero dar ideias.
Como resolvemos o problema de segurança se fomos afetados pelo wpuser_ exploit em WordPress?
Tomamos o cenário em que o blog WordPress foi afetado pelo hack "wpuser_" e redirecionado para outro endereço da web. Então, claramente, você não pode mais fazer login e entrar no Dashboard.
1. Nós nos conectamos ao banco de dados do site afetado. Via phpMyAdmin ou qualquer caminho de gerenciamento que cada um tenha. Os dados de autenticação do banco de dados estão localizados no arquivo wp-config.php.
define('DB_USER', 'user_blog');
define('DB_PASSWORD', 'passworddb');2. Mergem em “wp_options"E na coluna"optons_value"Certificamo-nos de que é o endereço correto do nosso site em"siteurl"E"home".
Daqui ele é praticamente redirecionado para outro endereço. Depois de alterar o endereço do site, ele ficará acessível novamente.
3. Tudo em “wp_options”Verificamos se o endereço de e-mail do administrador também não foi modificado. Nós verificamos em “admin_email“Para ser o certo. Se não for o correto, nós o modificamos e passamos o endereço legítimo. Aqui encontrei "admin@exemplo.com".
4. Vá para o Dashboard e faça isso update plugin urgente Recursos do PublishPress ou desative-o e exclua-o do servidor.
5. em Dashboard → Users → All Users → Administrator excluímos usuários ilegítimos com a classificação de Administrator.
6. Alteramos as senhas de usuários legítimos com direitos de Administrator e senha do banco de dados.
É aconselhável instalar e configurar um módulo de segurança. Wordcerca de segurança fornece proteção suficiente na versão gratuita para tais ataques.
Não gastei muito tempo procurando onde estava a vulnerabilidade Recursos do PublishPress, mas se você tiver site infectado com este exploit, pode ajudá-lo livre-se disso. Os comentários estão abertos.
Veja esta postagem para mais informações sobre este tópico: https://www.wordfence.com/blog/2021/12/massive-wordpress-attack-campaign/