SEOFAQ Telegram, маркетинг и SEO Канал SEOFAQT в мессенджере Telegram

Все чатыРазгадка коварного взлома WordPress В недавней беседе между...

 139  


Разгадка коварного взлома WordPress

В недавней беседе между SEO-специалистами Тадеушем Шевчиком и IrishWonder были рассмотрены тонкости борьбы с чрезвычайно трудноуловимым хаком WordPress.

Эта дискуссия может оказаться полезной для всех, поэтому давайте разберемся в ней.

Тадеуш начал с описания проблемы: невидимый хак заблокировал ему доступ к админке WordPress.

Несмотря на попытки сменить пароль или добавить нового пользователя с помощью SQL, его действия автоматом пресекались.

Никакие сторонние инструменты не могли обнаружить взлом, что делало его решение особенно сложным.

IrishWonder предположила, что взлом мог произойти через один из плагинов.

В качестве возможного решения она рассказала, как отключить все плагины WordPress, даже не имея доступа к WP-admin.

Однако Тадеуш сообщил, что проблема сохраняется даже после отключения плагинов.

Он отметил, что каждый раз, когда он сбрасывал пароль, бот снова менял его или блокировал доступ к админке, утверждая, что текущий пароль в базе данных неверен.

Это навело его на мысль о том, что wp-login.php был взломан.

Тогда IrishWonder предложила другой подход: получить доступ к базе данных из панели управления хостингом и проверить таблицу users.

Тадеуш подтвердил, что он может видеть и изменять пользователей, однако на странице администратора его изменения постоянно отменялись или блокировались.

IrishWonder предложила удалить всех остальных пользователей и создать нового пользователя с правами администратора.

Тадеуш согласился попробовать это сделать, хотя и подозревал, что здесь действует автоматический процесс, так как при смене пароля он сразу же аннулировался.

Затем разговор перешел к возможности войти в систему по FTP и посмотреть, какие папки и файлы были изменены за последнее время.

IrishWonder посоветовала сравнить это с тем, когда сайт был взломан.

Она также предложила поискать скрипты или задания cron, которых там не должно быть, особенно если есть подозрения, что взлом был автоматизирован.

Оказалось, что файлы wp-mail.php и wp-trackback.php были недавно изменены, что могло объяснить, почему повторная отправка пароля вызвала срабатывание вредоносного скрипта.

Он спросил, можно ли удалить эти файлы и заменить их позже - IrishWonder согласилась.

IrishWonder подчеркнула, что хакерам редко удается проникнуть в систему, не оставив следов.

Отслеживание этих следов часто является наиболее эффективным способом понять, как был выполнен взлом и на что он повлиял.

@MikeBlazerX

Ссылки из поста:
https://twitter.com/onreact/status/168488540034559...
https://kinsta.com/knowledgebase/disable-wordpress...
https://t.me/MikeBlazerX

Источник новости https://t.me/mikeblazerx/2009...