Un bot editado todas las páginas en mi instalación de Wordpress

4

Administro un sitio de Wordpress para el registro de un evento. El sitio sólo está activo durante unos pocos meses al año. El resto del año está inactivo, como en el caso, pero no se mantiene activamente.

Ahora ha llegado el momento de prepararlo de nuevo, y noté que todas las publicaciones y páginas se han editado. En la parte inferior de cada página / publicación se ha agregado una etiqueta de script. Esta etiqueta crea un enlace a algún sitio web, si a menudo enlaces a domyhomework.com , o algo similar.

Todas estas ediciones fueron hechas por el mismo usuario que es solo un "editor", y no un administrador. Está claro que este usuario realmente no hizo esto, pero también está claro que su cuenta fue utilizada. Todas las ediciones se realizaron en la misma fecha, de 11:51 a 11:54.

He cambiado la contraseña del usuario, así como "cerrar sesión en todas las demás sesiones". También instalé un registrador de actividades más sólido, que supervisará el sitio a partir de ahora.

Me gustaría saber qué ha sucedido exactamente aquí, para poder prevenirlo en el futuro.

editar: parece que el usuario tiene un malware en su computadora y cuando inicia sesión en el sitio se ejecuta un script y lo agrega a las páginas / publicaciones, pero no sé cómo evitar algo así, o si es posible .

    
pregunta klskl 23.01.2018 - 11:03
fuente

1 respuesta

3

Debido a que su curso de acción fue cambiar la contraseña de la cuenta ofensiva, parece que su teoría de lo que sucedió es que la cuenta de los usuarios fue violada (por ejemplo, la contraseña débil fue forzada con fuerza bruta, la contraseña reutilizada de un volcado de datos, los usuarios infectados por malware). Esa es una explicación posible, pero no es la única, porque no es la más probable.

Otra explicación es que existe una vulnerabilidad en su instalación de WordPress, ya sea en el núcleo mismo o en un complemento. Si ese es el caso, cambiar una contraseña es de poca ayuda. Sus puertas todavía están abiertas y usted es vulnerable. El compromiso podría ser mucho peor de lo que esperaba: puede que en este momento haya un programa malicioso malicioso en su servidor.

Puedes intentar descubrir qué tan grave es hacer una investigación forense. Pero parece que los registros son escasos, e incluso con buenos registros, esto sigue siendo una cosa difícil de hacer. Entonces, tal vez el mejor curso de acción es asumir lo peor.

Me gustaría ver estas dos publicaciones para obtener más información:

respondido por el Anders 23.01.2018 - 13:11
fuente

Lea otras preguntas en las etiquetas