Veja que há pastas de plugins criados pelo hacker com nome paypale e update-account-notification. Entre no phpmyadmin e troque a senha do administrador removar essas pastas.
Agora, estou com problema de acessar área administrativa depois de atualizar para versão 4.7.
Warning: Cannot modify header information – headers already sent by (output started at
Vou tentar voltar para a versao 4.6
Tenho 3 sites WP. Os 3 foram afetados.
No meu principal, não foram injetados arquivos.
Em apenas um deles, injetaram a pasta “ubh” na pasta de plugins. Já verifiquei e é um webshell.
Instale o plugin “Wordfence Security” que ele identifica plugins e arquivos modificados, te avisa quando houver algum login com permissão de administrador, e evita ataques bloqueando automaticamente. Foi por causa dele que descobri a invasão.
Detalhes do plugin webshell:
Plugin Name: UBH CSU
Plugin URI: ubhteam.org
Description: upload shell and manage site or server using console :D, happy hacking 😉 !
Author: Prappo Prince
Author URI: prappo-prince.me
Version: 1.0
Conversei por mais de 1 hora com um técnico do suporte avançado da Locaweb.
Ele me falou que a vulnerabilidade está na aplicação, e não no ambiente.
Tudo leva a crer que o WordPress tem falha, que permite SQL Injection.
E veja bem, estou sempre usando a ultima versão atualizada. No caso 4.7.
Neste servidor, realmente só as instalações de wordpress foram afetadas. E foram dezenas.
Queria informar que isso é muito sério e deve ser reportado ao desenvolvedor, mas não sei como fazer.
Usuários mais experientes daqui poderiam informar como proceder?
WordPress 4.7 está com vulnerabilidade de SQL Injection!
Olá @lordeleo,
A falha em questão é na REST API do wordpress que foi implementada. Essa api permite que sejam feitas consultas e tarefas nos sites com wordpres, porém, bots podem acessar essas informações também 😀 . Usernames de seu site por exemplo podem facilmente ser descobertos atraves de /wp-json/wp/v2/users , com esse tipo de vulnerabilidade na api é só juntar algumas ferramentas e técnicas para invadir.
Exemplo: https://wpengine.com/wp-json/wp/v2/users
Você pode bloquear a rest api temporariamente com esse plugin: https://wordpress.org/plugins/disable-json-api/
A wordfence já está trabalhando junto com a equipe do wordpress nessa “falha”, pode acompanhar aqui: https://www.wordfence.com/blog/2016/12/wordfence-blocks-username-harvesting-via-new-rest-api-wp-4-7/
Recomendo que também faça um verificação em seu site com o wpscan (https://wpscan.org/) ele irá lhe informar caso tenha alguma vulnerabilidade em algum plugin ou alguma falha em seu wordpress.
Até.
-
Esta resposta foi modificada 7 anos, 9 meses atrás por italoxz.
@italoxz,
Obrigado pelas informações.
Esta “falha” em questão não afeta meu site:
{“code”:”rest_user_cannot_view”,”message”:”Sem permiss\u00e3o para listar usu\u00e1rios.”,”data”:{“status”:401}}
Já uso “Wordfense” e o “AIO WP Segurança e Plugin de Firewall”, que são bem efetivos no bloqueio de acessos, firewall. Inclusive bloqueio tudo que seja de fora do Brasil.
Mesmo assim meu WP e dezenas de outros tiveram seus usuários do banco de dados alterados.
Neste caso, me leva a crer que tenha sido por SQL Injection. Pelo que vi, o “cracker” utilizou um webshell no servidor e comprometeu todas as demais contas do servidor compartilhado.
Aí chega em um ponto: não dá para usar o WPScan em um servidor compartilhado né?
Obrigado novamente