Những thách thức về bảo mật đang xuất hiện ở khắp mọi nơi và hacker mới nhất đã được tìm thấy khai thác lỗ hổng trong một plugin WordPress trên hết, nó được thiết kế để hạn chế quyền truy cập của người dùng vào các khả năng WordPress và kiểm soát quyền của họ tốt hơn.
Nếu bạn có một blog, cửa hàng trực tuyến, trang trình bày đang chạy WordPress và mô-đun Các khả năng của PublishPress, rất tốt để kiểm tra nếu không trong Dashboard → Users → All Users → Administrator, không có người dùng nào mà bạn không biết và hầu hết thời gian có tên biểu mẫu "wpuser_sdjf94fsld".
Tôi đã bắt gặp vụ hack này trên một số cửa hàng trực tuyến và tôi nhanh chóng đi đến kết luận rằng yếu tố chung duy nhất của chúng là plugin Các khả năng của PublishPress, trình bày một lỗ hổng bảo mật cho phép thêm người dùng có xếp hạng Administrator, mà không cần quy trình đăng ký tiêu chuẩn.
Trên một số trang web WordPress bị ảnh hưởng, những kẻ tấn công đã bằng lòng chỉ thêm người dùng mới với xếp hạng administrator, mà không gây ra bất kỳ thiệt hại. Hoặc có thể họ không có thời gian.
Mặt khác, những người khác đã được thực hiện chuyển hướng của WordPress Address (URL) và / hoặc Chỗ Address (URL) đến các trang bên ngoài và rất có thể là vi-rút. Một dấu hiệu cho thấy những kẻ phát động những cuộc tấn công này có chút tâm trí. Đó là phần tốt nhất về bảo mật.
Tất nhiên, không có gì đáng vui mừng khi biết rằng cửa hàng trực tuyến, trang web hoặc blog được chuyển hướng đến các địa chỉ web khác, nhưng phần tốt là hiện tại ai đã nắm quyền kiểm soát, không gây ra bất kỳ thiệt hại nào khác. Đại loại là xóa nội dung, đưa liên kết spam vào toàn bộ cơ sở dữ liệu và những thứ điên rồ khác. Tôi không muốn đưa ra ý kiến.
Làm cách nào để chúng tôi khắc phục sự cố bảo mật nếu chúng tôi bị ảnh hưởng bởi khai thác wpuser_ WordPress?
Chúng tôi lấy tình huống trong đó blog WordPress đã bị ảnh hưởng bởi vụ tấn công "wpuser_" và được chuyển hướng đến một địa chỉ web khác. Vì vậy, rõ ràng bạn không thể đăng nhập và truy cập Trang tổng quan được nữa.
1. Chúng tôi kết nối với cơ sở dữ liệu của trang web bị ảnh hưởng. Qua phpMyAdmin hoặc bất kỳ đường dẫn quản lý nào mà mỗi người có. Dữ liệu xác thực cơ sở dữ liệu nằm trong tệp wp-config.php.
define('DB_USER', 'user_blog');
define('DB_PASSWORD', 'passworddb');2. Hợp nhất trong “wp_options"Và trên cột"optons_value"Chúng tôi đảm bảo rằng đó là địa chỉ chính xác của trang web của chúng tôi tại"siteurl"Và"home".
Từ đây nó thực tế được chuyển hướng đến một địa chỉ khác. Sau khi bạn thay đổi địa chỉ của trang web, nó sẽ có thể truy cập lại được.
3. Tất cả trong “wp_options”Chúng tôi kiểm tra rằng địa chỉ email quản trị viên cũng không bị sửa đổi. Chúng tôi kiểm tra tại “admin_email”Là một trong những quyền. Nếu nó không phải là địa chỉ chính xác, chúng tôi sẽ sửa đổi nó và chuyển địa chỉ hợp pháp. Ở đây tôi tìm thấy "quản trị viên@example.com".
4. Đi tới Trang tổng quan và thực hiện update plugin khẩn cấp Các khả năng của PublishPress hoặc vô hiệu hóa nó và xóa nó khỏi máy chủ.
5. Trong Dashboard → Users → All Users → Administrator chúng tôi xóa người dùng bất hợp pháp với xếp hạng Administrator.
6. Chúng tôi thay đổi mật khẩu của những người dùng hợp pháp có quyền Administrator và mật khẩu cơ sở dữ liệu.
Bạn nên cài đặt và cấu hình một mô-đun bảo mật. Wordhàng rào An ninh cung cấp đủ bảo vệ trong phiên bản miễn phí cho các cuộc tấn công như vậy.
Tôi đã không mất nhiều thời gian để tìm lỗ hổng bảo mật Các khả năng của PublishPress, nhưng nếu bạn có trang web bị nhiễm bằng cách khai thác này, có thể giúp bạn Gạt nó ra. Bình luận đang mở.
Xem bài đăng này để biết thêm về chủ đề này: https://www.wordfence.com/blog/2021/12/massive-wordpress-attack-campaign/