¿Podría una base de datos de WP comprometida causar una nueva infección sin que el pirata informático necesite iniciar sesión en WP?

Navega tus respuestas
3

¿Es posible que una base de datos de WordPress comprometida pueda usarse de alguna manera para volver a infectar un sitio web?

No estoy hablando de que el pirata informático decodifique las contraseñas de los usuarios e inicie sesión en WP.

Estoy hablando de que un pirata informático utiliza una base de datos comprometida para volver a infectar un sitio web SIN tener que iniciar sesión a través de WP Admin .

¡Gracias!

EDITAR: Tengo un amigo cuyo sitio web fue hackeado. El pirata informático inyectó códigos de JavaScript codificados en varios archivos que requieren más archivos JS externos de otro sitio comprometido.

A pesar de actualizar WP core + plugins + limpiar los archivos infectados y cambiar todas las contraseñas (servidor, base de datos, sal WP, etc.), el sitio se volvió a infectar.

Sospecho que la base de datos podría haber sido manipulada. En lugar de codificar el código javascript malicioso en un archivo, el pirata informático podría incrustarlo en la base de datos , de modo que cuando WP carga dinámicamente el contenido de la base de datos en una página, también se carga el código malicioso.

    
pregunta Honey Badger 26.12.2014 - 14:54
fuente

4 respuestas

1

Como un antiguo pirata informático y ahora un usuario avanzado de WP, puedo decir que lo último que me importa es mantener su conexión de base de datos. Simplemente no hay nada allí que sea tan útil para mí. Puedo crear scripts de WP para descargar la información del usuario una vez que esté en el área de administración. No debe guardar información de la tarjeta de crédito o de pago en la base de datos de WP, así que si simplemente se detiene.

Eso significa que el pirata informático solo quiere información del usuario o que se meta con usted. Y para estas cosas, como dije, solo necesitaría acceso de administrador.

La forma más sencilla de hacerlo es crear una función o un archivo php que inicie sesión en el usuario como primer administrador escaneado. Tengo un archivo en todos mis sitios de WP internos que básicamente analiza la base de datos de WP y me conecta con el primer usuario que tiene todos los derechos. Hago esto porque mantengo los sitios y las personas en mi trabajo creen que son de su propiedad después de que eliminen mi cuenta, pero luego me piden ayuda una semana después.

También podría crear una función a la que podría llamar en secreto en cualquier página si realmente estuviera tratando de ocultarla.

Si te piratean, todo lo que incluye sales en tu configuración debería cambiarse, tu base de datos debería obtener un nuevo nombre de usuario y contraseña, pero lo más importante es comenzar con una instalación WP limpia.

El hecho de que WP tenga un buen editor de archivos integrado permite a las personas hacer cualquier cosa fácilmente una vez dentro, así que debes asegurarte de que no se dejen una puerta trasera, lo que si son lo suficientemente inteligentes como para hackearte, lo harían definitivamente dejar algo para entrar más tarde.

    
respondido por el blankip 26.12.2014 - 20:34
fuente
1

Debe asegurarse de verificar los directorios a los que los piratas informáticos apuntan normalmente para instalar una puerta trasera, como los temas desactivados y el directorio de subidas. También verifique el código fuente de sus archivos sensibles como el archivo wp_config.php .

Puede haber un shell oculto en algún lugar de su servidor que pueda generar el malware cada vez que lo elimine.

Necesita un análisis cuidadoso y completo de su sitio web (complementos, temas, otros directorios). Después del análisis completo, necesita cambiar su contraseña.

    
respondido por el Dnakki 26.12.2014 - 16:29
fuente
1

Una vez que un atacante haya obtenido la ejecución remota de código en el servidor, el primer paso es configurar el acceso persistente. Dos maneras comunes en que esto se hace es mediante la modificación de un archivo php, o agregando un nuevo archivo .php a la raíz web.

Si la infección está creando publicaciones de blog de spam u otras modificaciones no autorizadas de la base de datos, es posible que el atacante tenga acceso permanente a la base de datos. Lo creas o no, todavía hay muchas empresas de alojamiento que permiten a cualquier persona en Internet iniciar sesión en tu base de datos. Para empeorar las cosas, las credenciales de la base de datos casi siempre se almacenan en texto sin formato en el archivo wp-config.php. El acceso a la base de datos siempre debe limitarse a los hosts de confianza que usan un firewall u otro control de acceso basado en la red.

Vuelva a instalar desde cero, cambie todas las contraseñas, mantenga todo actualizado.

    
respondido por el rook 26.12.2014 - 16:28
fuente
1

Absolutamente sí.

Como han mencionado otros, el código podría verse comprometido fácilmente. Así que necesitas reinstalar todo el código. Alguien más mencionó las cuentas de usuario, por lo que debe verificar las cuentas de usuario, restablecer las contraseñas, etc.

Pero hay otra vulnerabilidad potencial también. XSS (secuencias de comandos entre sitios). Si reemplaza todo el código con instalaciones nuevas, todavía tiene la información que un atacante podría haber manipulado. Si un atacante puede inyectar scripts (javascript para uno) en su sitio de WP, puede robar tokens de autenticación cuando alguien está conectado. Normalmente, se termina el juego.

Aparte de XSS, tendrías que ser un experto en wordpress para comprender todas las implicaciones de seguridad de comprometer la base de datos, y yo no. Mi instinto sería comenzar a ver cualquier complemento que tenga y cualquier interacción con la base de datos.

    
respondido por el Steve Sether 26.12.2014 - 21:11
fuente

Lea otras preguntas en las etiquetas

¿Cómo se aplica la política del mismo origen entre las pestañas del navegador? [duplicar] ¿Qué es lo peor que alguien podría hacer con el código de desbloqueo de mi teléfono?