Az elmúlt hónapban nagyon sokunkban számlatan kérdés merült fel bennünk a WordPress oldalunkkal kapcsolatban, mint pl: Megint feltörték a WordPress oldalamat? Mi történik megint átirányít egy másik oldalra? Hogy került fel az a plusz bővítmény? Mi történik a WordPress oldalammal?
Nekünk is elég sok fejtrést okozott ennek a megoldása
Két módosítást is észrevettünk
- megjelent egy új bővítmény mégpedig a plug.php , ez egy ügyesen megírt kis bővítmény ami egy súlyos átirányítást készít
A következő fileokat tartalmazza:
wp-content/plugins/Plugin/plug.php
wp-content/plugins/plugs/plugs.php
wp-content/plugins/Builder/Builder.php
- .htaccess tartalmát lecseréli egy egészen más utasításra ami tulajdonképpen az átirányítást végzi.
A Jetpack felhasználókat célzó rosszindulatú támadási kampány a jelszavak újra felhasználásával
Több ezer weboldalt érintő támadásról van szó, kiszivárgott jelszavak miatt, tehát akinek a Jatpack jelszava (a wordpress.com) és a weboldallal megegyezett azt mind feltörték. Így be tudtak jutni a plugin mappába és telepíteni azt a bizonyos bővítményt.
Akkor nézzük meg milyen megoldások vannak, mit kell tennünk ..
- két faktoros hitelesítés bekapcsolása
- Jatpack (WordPress.com ) jelszó csere, erősre
- Jatpack bővítmény törlése
- Weboldal jelszó csere
- Cpanel vagy egyéb panel jelszócser
- Ftp – jelszócsere
- adatbázis jelszócsere
- Rejteni a wp-admin belépési útvonalát
- .htaccess filet újra telepíteni tiszta adatokkal és 444 es jogot adni neki
- megkeresni a tárhelyen az összes .htaccess filet és mindenhol elvégezni ezt