¿Blog de Wordpress hackeado?

Navega tus respuestas
2

Hay un blog de Wordpress ejecutándose en Wordpress 4.0. Cualquier persona que tenga el correo web de la empresa puede registrarse en el blog utilizando su cuenta de Google+ y enviar publicaciones del blog. Una vez publicados, se enviarán a algunos moderadores y, una vez revisado, el moderador puede publicarlo en el blog. Cada vez que se envíe una nueva publicación del blog para su revisión, todos los moderadores recibirán un correo electrónico que le indicará que revise la publicación.

Ahora el problema: los moderadores están recibiendo correos no deseados. Mail dice que hay una nueva publicación de blog para ser revisada. Para revisar vaya a este enlace. El enlace es un enlace normal. Nada parece sospechoso. Pero los detalles del autor son interesantes. Los autores no son miembros de la organización y, por lo tanto, no pueden crear publicaciones de blog. Así que no puedo pensar en esto como un simple truco de spam. ¿Cómo se generan tales correos de moderador?

Los autores tenían una dirección de correo electrónico como [email protected] y [email protected]. ¿Que se supone que haga? ¿Soy hackeado?

EDITAR

Los correos electrónicos se están recibiendo de un servidor de correo registrado y el enlace parece un enlace de publicación de blog normal. Pero como no hay una publicación de blog real, se redirige a la página de inicio de blogs.

Recientemente, eliminé a todos los usuarios no deseados del sitio web y observé atentamente a los nuevos usuarios. Dentro de 4 días, los nuevos usuarios de spam se están registrando en el sitio. Alrededor de 100 usuarios se registraron en 4 días.

Tengo la característica New user registration deshabilitada. ¿Todavía cómo sucede esto?

    
pregunta Anonymous Platypus 27.03.2015 - 09:34
fuente

2 respuestas

2

Supongo que no hay ninguna relación entre estos correos y las publicaciones nuevas que se revisarán, ¿verdad? Es decir, solo porque usted recibe uno de estos correos, ¿no es necesario que haya una nueva publicación de blog para revisar?

Si este es el caso, no puedo ver ninguna indicación de ninguna relación entre estos correos y sus sistemas (el sistema WP). En otras palabras, no puedo ver ninguna razón para ver esto como algo más que un spam "regular".

En cuanto a los enlaces, el hecho de que apunten a su página de moderación no significa que un atacante tenga acceso a las partes internas de su sitio: la url es probablemente solo una url estándar para los sitios WP, con la url raíz reemplazada con la dirección de su sitio .

Editar: Como se menciona en los comentarios a continuación, el problema real es que los correos parecen provenir del servidor de correo interno. Este podría quizás indicar una infracción (?), Pero debe verificarse revisando los registros del servidor de correo para asegurarse de que los correos no solo se manipulen para que parezcan que son de su servidor. Si el registro no está activado, cámbielo ahora, y revise los registros la próxima vez que se reciba dicho correo.

( Sidenote: ¿Por qué alguien haría esto? ¿Quizás como una forma de intentar evitar cualquier sistema de filtrado de correo que tenga instalado para poder colar el correo no deseado que de otra forma se detendría? )

    
respondido por el Kjartan 27.03.2015 - 09:49
fuente
0

No tengo una respuesta específica para ti, pero si buscas "Wordpress hacked" comenzarás a tener una idea del alcance del problema al que te enfrentas. Mi experiencia anecdótica es que los complementos de Wordpress tienden a ser responsables de gran parte del pirateo, por lo que comenzaré parchando su pila de software desde el sistema operativo hasta los complementos de Wordpress y luego buscaré en cada uno de sus complementos instalados para los agujeros de seguridad conocidos . Obviamente, alguien está ingresando a su base de datos de usuario o administrador de Wordpress a través de un agujero de seguridad. Tu desafío es encontrar y tapar el agujero.

    
respondido por el Robert Munn 06.04.2015 - 12:32
fuente

Lea otras preguntas en las etiquetas

¿Qué tan buena es la confidencialidad con las compañías de reenvío de correo físico? [cerrado] ¿Existen riesgos de seguridad adicionales al rootear un dispositivo Android?