Több ügyfelünk is jelezte, hogy módosította valaki a WordPress oldalának Site URL-jét. Ezt, ha mostanában történt, minden bizonnyal az Easy WP SMTP plugin sérülékenységén keresztül tudták megoldani a hackerek!
Minden WordPress oldal, amely az Easy WP SMTP plugin 1.3.9-es verzióját használja, ha ezt a plugint még nem frissítette a tulajdonosa, támadható, mivel ezen a pluginon keresztül módosítani tudják kívülről az oldal Site URL-jét.
Mit kell tenned, ha ezt a plugint használod?
A következő lista nem teljes, de legfőképpen ezeket a dolgokat kell ellenőrizned:
- Lépj be a cPanelre, és keresd meg az oldalad wp-config.php-ját. Nyisd meg a cPanel fájlkezelővel (jobb gomb->view) majd keresd meg a „DB_NAME” sorban az adatbázis nevét. Ha megvan, hogy melyik adatbázis tartozik az oldaladhoz, akkor keresd meg a PHPmyadminban.
- Ellenőrizd az adatbázis táblák között az ‘options’ táblát: itt a site url sorban, ha nem a saját oldalad URL-jét látod, akkor meghackelték az oldalt. Ha a saját webcímedet látod a site url sorban, akkor nincs gond, csak frissítsd a plugint a legfrissebb verzióra!
- Ha tehát érintett vagy a feltörésben, akkor:
- A módosított Site URL sort írd vissza a saját domainedre az options táblában (dupla klikkel szerkeszthetővé válik az érték)
- vizsgáld át a users táblát is, hogy találsz-e ismeretlen felhasználót (ugyanezt a WordPress->általános beállításokban is megteheted, ha már sikerült belépned)
- minden jelszót cserélj le: admin jelszó, adatbázis jelszó, felhasználóid (ha vannak regisztrált felhasználók, és azok az adatbázisban tárolódnak) jelszavai
- A wp_options táblában ellenőrizd, hogy nem módosították-e a ‘wp_user_roles’ sor adatait. Ha szükséges állítsd vissza mentésből.
- A WordPress fájlok átnézése is szükséges lehet, hogy nem helyeztek-e el backdoor-t.
- Az email fiók jelszavát, amelyre az oldalad csatlakozott cseréld egy újra.
Bejegyzésünk az alábbi cikk felhasználásával íródott: https://blog.nintechnet.com/critical-0day-vulnerability-fixed-in-wordpress-easy-wp-smtp-plugin/