Suporte » Ajustando o WordPress » Novos usuários fake em nível administrador

  • Toda semana, desde que atualizamos para a versão 4.7.2, aparecem novos usuários com nível administrador em meu site.

    Os nomes são sempre algo como: bubgs5662 <mqcdnkxjrj@gmail.com>

    Já troquei a senha de todos os usuários e instalei o Wordfence para encontrar problemas. Quando isso começou, vários outros problemas de invasão foram encontrados. Inseriram alguns PDFs cheios de links no FTP e outros arquivos (que ainda não sei se são fruto de hack ou algum plugin) como wp-admin/infophp.php e wp-includes/screaminglyanalysis.php

    Eu uso os seguintes plugins:
    – Advanced Custom Fields PRO
    – Advanced Custom Fields: qTranslate
    – Ajax Load More
    – Akismet Anti-Spam
    – Calculated Fields Form
    – Contact Form 7 – Dynamic Text Extension
    – Formulário de contato 7
    – Integração RD Station
    – MediaElement.js – HTML5 Audio and Video
    – qTranslate-X
    – Simple Custom Post Order
    – TinyMCE Avançado
    – WP Retina 2x
    – WP-Mail-SMTP

    – Wordfence Security foi instalado depois do problema.

    • Este tópico foi modificado 5 anos, 5 meses atrás por felipesetlik.
Visualizando 2 respostas - 1 até 2 (de um total de 2)
  • Moderador Mário Valney

    (@mariovalney)

    WordPress Cleric of Fire

    Olá, tudo bem?

    O Wordfence é um plugin excelente.
    Além dele gostaria de indicar a documentação oficial e o checklist criado pela comunidade.

    No mais, as medidas de segurança fora do contexto do WordPress, como verificar o log de acesso e se não foram criadas backdoors em outros pontos do site (plugins confiáveis podem ter sidos alterados, bem como temas, visto que tiveram acesso ao seu servidor).

    Particularmente eu iria “zerar” o servidor (solicitando à empresa de hospedagem a limpeza) e na nova hospedagem instalar o site novamente, com todas as medidas de segurança.

    Moderador Claudio Sanches

    (@claudiosanches)

    O problema deve ter sido antes de atualizar, já que teve falha de segurança com a API REST e que foi corrigido em 4.7.2.

    Problema agora que o servidor já esta infectado, não adianta atualizar tudo, mudar senhas e etc, se já tem script rodando nele que permite o ataque voltar a qualquer hora.
    Nesse caso ai seria melhor remover todos os arquivos do WordPress, deixar apenas a pasta wp-content/ e os arquivos .htaccess e wp-config.php.
    Verificar se não tem nada de errado com esses dois últimos arquivos e então extrair um zip novo do WordPress por cima.
    Depois baixar todos os plugins manualmente, remover as pastas deles do servidor e subir novamente.
    Com isso vai ficar faltando a pasta de uploads, que você vai ter que verificar tudo, cada pasta, procurando por algum arquivo estranho.

    E ainda assim nada disso pode resolver, porque podem ter deixando algum Backdoor fora da instalação do seu site, principalmente se tiver mais de um site instalado junto, algumas vezes dependendo a segurança do servidor é baixa, o cara pode ter conseguido até acesso ao seu servidor inteiro.

Visualizando 2 respostas - 1 até 2 (de um total de 2)
  • O tópico ‘Novos usuários fake em nível administrador’ está fechado para novas respostas.