Разгадка коварного взлома WordPress В недавней беседе между...
139
Разгадка коварного взлома WordPress
В недавней беседе между SEO-специалистами Тадеушем Шевчиком и IrishWonder были рассмотрены тонкости борьбы с чрезвычайно трудноуловимым хаком WordPress.
Эта дискуссия может оказаться полезной для всех, поэтому давайте разберемся в ней.
Тадеуш начал с описания проблемы: невидимый хак заблокировал ему доступ к админке WordPress.
Несмотря на попытки сменить пароль или добавить нового пользователя с помощью SQL, его действия автоматом пресекались.
Никакие сторонние инструменты не могли обнаружить взлом, что делало его решение особенно сложным.
IrishWonder предположила, что взлом мог произойти через один из плагинов.
В качестве возможного решения она рассказала, как отключить все плагины WordPress, даже не имея доступа к WP-admin.
Однако Тадеуш сообщил, что проблема сохраняется даже после отключения плагинов.
Он отметил, что каждый раз, когда он сбрасывал пароль, бот снова менял его или блокировал доступ к админке, утверждая, что текущий пароль в базе данных неверен.
Это навело его на мысль о том, что wp-login.php был взломан.
Тогда IrishWonder предложила другой подход: получить доступ к базе данных из панели управления хостингом и проверить таблицу users.
Тадеуш подтвердил, что он может видеть и изменять пользователей, однако на странице администратора его изменения постоянно отменялись или блокировались.
IrishWonder предложила удалить всех остальных пользователей и создать нового пользователя с правами администратора.
Тадеуш согласился попробовать это сделать, хотя и подозревал, что здесь действует автоматический процесс, так как при смене пароля он сразу же аннулировался.
Затем разговор перешел к возможности войти в систему по FTP и посмотреть, какие папки и файлы были изменены за последнее время.
IrishWonder посоветовала сравнить это с тем, когда сайт был взломан.
Она также предложила поискать скрипты или задания cron, которых там не должно быть, особенно если есть подозрения, что взлом был автоматизирован.
Оказалось, что файлы wp-mail.php и wp-trackback.php были недавно изменены, что могло объяснить, почему повторная отправка пароля вызвала срабатывание вредоносного скрипта.
Он спросил, можно ли удалить эти файлы и заменить их позже - IrishWonder согласилась.
IrishWonder подчеркнула, что хакерам редко удается проникнуть в систему, не оставив следов.
Отслеживание этих следов часто является наиболее эффективным способом понять, как был выполнен взлом и на что он повлиял.
@MikeBlazerX
Ссылки из поста:– https://twitter.com/onreact/status/168488540034559...
– https://kinsta.com/knowledgebase/disable-wordpress...
– https://t.me/MikeBlazerX
Источник новости https://t.me/mikeblazerx/2009...

