Des problèmes de sécurité surgissent partout et le dernier pirate informatique a été trouvé exploiter une vulnérabilité dans un plugin WordPress en plus de cela, il est conçu pour limiter l'accès des utilisateurs aux fonctionnalités WordPress et mieux contrôler leurs autorisations.
Si vous avez un blog, une boutique en ligne, un site de présentation en cours d'exécution WordPress et le module Fonctionnalités de publication et de presse, il est bon de vérifier sinon Dashboard → Users → All Users → Administrator, il n'y a pas d'utilisateurs que vous ne connaissez pas et la plupart du temps avec un nom de formulaire "wpuser_sdjf94fsld" .
Je suis tombé sur ce hack sur plusieurs boutiques en ligne et je suis vite arrivé à la conclusion que leur seul élément commun est le plugin Fonctionnalités de publication et de presse, qui présente un vulnérabilité qui permet l'ajout d'un utilisateur avec un rang de Administrator, sans avoir besoin d'un processus d'enregistrement standard.
Sur certains sites WordPress touchés, les attaquants se sont contentés d'ajouter de nouveaux utilisateurs avec le rang de administrator, sans causer de dommages. Ou peut-être qu'ils n'avaient pas le temps.
D'autres, en revanche, ont été faites redirections de WordPress AddRess (URL) et/ou site AddRess (URL) vers des pages externes et probablement des virus. Un signe que ceux qui ont lancé ces attaques avaient peu d'esprit. C'est la meilleure partie de la sécurité.
Bien sûr, ce n'est pas un plaisir de se réveiller que la boutique en ligne, le site Web ou le blog sont redirigés vers d'autres adresses Web, mais la bonne partie est que pour le moment, celui qui a pris le contrôle n'a fait aucun autre dommage. En quelque sorte, supprimer du contenu, injecter des liens de spam dans toute la base de données et d'autres choses folles. Je ne veux pas donner d'idées.
Comment résoudre le problème de sécurité si nous avons été affectés par l'exploit wpuser_ sur WordPress?
Nous prenons le scénario dans lequel le blog WordPress a été affecté par le piratage "wpuser_" et redirigé vers une autre adresse Web. Il est donc clair que vous ne pouvez plus vous connecter et accéder au tableau de bord.
1. Nous nous connectons à la base de données du site concerné. Via phpMyAdmin ou quel que soit le chemin de gestion de chacun. Les données d'authentification de la base de données se trouvent dans le fichier wp-config.php.
define('DB_USER', 'user_blog');
define('DB_PASSWORD', 'passworddb');2. Accédez à "wp_options"Et sur la colonne"optons_value"Nous nous assurons qu'il s'agit de la bonne adresse de notre site à"siteurl"Et"home" .
De là, il est pratiquement redirigé vers une autre adresse. Une fois que vous aurez modifié l'adresse du site Web, celui-ci sera à nouveau accessible.
3. Tout en "wp_options« Nous vérifions que l'adresse e-mail de l'administrateur n'a pas été modifiée également. Nous vérifions à «admin_email« Être le bon. Si ce n'est pas la bonne, nous la modifions et transmettons l'adresse légitime. Ici j'ai trouvé "admin@exemple.com" .
4. Accédez au tableau de bord et faites-le update plugin urgent Fonctionnalités de publication et de presse ou le désactiver et le supprimer du serveur.
5. dans Dashboard → Users → All Users → Administrator nous supprimons les utilisateurs illégitimes avec le rang de Administrator.
6. Nous modifions les mots de passe des utilisateurs légitimes ayant le droit de Administrator et le mot de passe de la base de données.
Il serait conseillé d'installer et de configurer un module de sécurité. WordClôture Sécurité fournit une protection suffisante dans la version gratuite pour de telles attaques.
Je n'ai pas passé beaucoup de temps à chercher où était la vulnérabilité Fonctionnalités de publication et de presse, mais si vous avez site infecté par cet exploit, peut vous aider s'en débarrasser. Les commentaires sont ouverts.
Voir cet article pour en savoir plus sur ce sujet : https://www.wordfence.com/blog/2021/12/massive-wordpress-attack-campaign/