• Rozwiązano tom.tom

    (@tomtom-1)


    Mam dziwny problem ze stroną Klienta. Dostałem zlecenie polegające na wyczyszczeniu, aktualizacji i zabezpieczeniu zhackowanej strony. Generalnie wszystko się powiodło, baza wyczyszczona, hasła wymienione(wszytkie, dwukrotnie), dodatkowe zabezpieczenia utrudniające siłowe złamanie haseł wprowadzone, a stały monitoring pokazuje, że nic niepokojącego się nie dzieje. Prawie nic…

    Jedyna rzecz, która mnie niepokoi to fakt, że co jakiś czas w bazie są rejestrowani nowi userzy o uprawnieniach Admina. Nie wiem skąd i nie wiem jak. Od razu wspomnę, że możliwość rejestracji użytkowników jest wyłączona. I raczej wykluczam normalny, oficjalny sposób zakładania tych kont, ponieważ data utworzenia konta (user_registered) też jest ustawiona na 0.

    Ma ktoś jakiś konstruktywny pomysł, skąd te rejestracje i jak je zablokować?
    Z góry dzięki za wskazówki

Viewing 7 replies - 1 through 7 (of 7 total)
  • Hasła wszystkie, tzn hasła userów WP?

    A hasło do bazy danych?

    W celu unieważnienia ciasteczek, które mogą przechowywać aktywne sesje, dobrze zmienić też klucze i sole w pliku wp-config:
    https://api.wordpress.org/secret-key/1.1/salt/

    Jeśli to nie to, to nie mam pomysłu, zmieniłbym chyba hosting…

    Thread Starter tom.tom

    (@tomtom-1)

    Dzięki – ale to też robiłem. Hasła były wymieniane jako pakiet: do kokpitu dla wszystkich userów, do ftp i do bazy danych. I to dwukrotnie – przed czyszczeniem i po czyszczeniu. Klucze też kilkukrotnie wymieniałem.

    Klient nie ma też żadnych podejrzanych wtyczek.

    Za nic nie mam pomysłu, jakie jeszcze mogą być sposoby zarejestrowania nowego użytkownika w bazie – żeby się przyjrzeć temu sposobowi i wymyślić coś, co temu zapobieże…
    Zmiana hostingu nie wchodzi w rachubę – bo dotyczyłoby to nie tylko samego WP.

    Jakieś pomysły?

    1. Autentykacja w .htaccess
    2. Biała lista adresów IP, z których logowanie (dostęp do wp-login) jest dozwolone
    3. Dodatek wymuszający szyfrowanie hasła przy logowaniu – czytałem, że domyślnie leci plaintextem, chyba że masz certyfikat ssl (https)

    Polecam artykuły z netu:
    jak-zabezpieczyc-wordpressa-przed-atakiem-brute-force-i-dlaczego-jeszcze-tego-nie-zrobiles

    11-sposobow-na-zabezpieczenie-wordpressa/#zmien-standardowy-login-administratora

    wordpress-security-how-to-secure-wordpress-thoroughly

    securing-your-wordpress-website

    (edit) forum wycinało linki do serwisów fachowych, może 4 to za dużo…(/edit)
    (edit2) http://codex.wordpress.org/Administration_Over_SSL (/edit2)
    Powodzenia!

    Thread Starter tom.tom

    (@tomtom-1)

    Dzięki za linki – szczególnie za ten, w którym opisywana jest metoda zabezpieczania kokpitu w htaccess.
    Wcześniej żadne wtyczki nie załatwiały problemu – dawały tylko chwilowy spokój. A prędzej czy później następował bruteforce attack. Kulminacja nastąpiła tydzień temu – w ciągu kilku godzin 26 tys. prób logowania. Wtedy na sztywno ustawiłem IP, z których można się logować do kokpitu. I od tego czasu… cisza, błoga cisza;)

    Jeszcze raz dzięki!

    Moderator amistad18

    (@amistad18)

    I konta już się nie dodają? Ja stawiał bym na jakiś syf, backdora czy coś takiego – wystarczy plik php gdzieś ukryty, lub nawet kilka linijek kodu w jakimś istniejącym, ale to powinieneś wykryć podczas czyszczenia strony po włamie.

    Thread Starter tom.tom

    (@tomtom-1)

    Tak właśnie, ustały bombardowania kokpitu próbami logowania i akcja z dodawaniem kont. Wydaje mi się, że stronę wyczyściłem dość rzetelnie i długo szukałem też w kodzie, gdzie mogłaby być luka. Nic nie znalazłem. Nie ma tam też żadnych podejrzanych wtyczek.

    Ale skoro strona jest firmowa – i tylko z firmowych kompów jest zarządzana, to ustawienie dostępu do kokpitu dla określonych ip’ków nie jest wielkim problemem – a działa.

    Moderator amistad18

    (@amistad18)

    Teoretycznie tak, bo nawet jak ktoś założy nowe konto admina to i tak się nie zaloguje. Aczkolwiek jeśli samo odcięcie katalogu wp-admin powstrzymało dodawanie nowych kont – to właśnie zawęziłeś sobie obszar poszukiwania syfu w kodzie 🙂

Viewing 7 replies - 1 through 7 (of 7 total)
  • Temat ‘Dziwne rejestracje nowych użytkowników’ jest zamknięty na nowe odpowiedzi.