Ontem à noite recebemos um e-mail de um amigo dizendo que encontrou alguns novos usuários com privilégios de administrador em alguns de seus sites WordPress e nos pediu para dar uma olhada.
Começamos a investigar e parece que os sites tinham uma coisa em comum – o WP GDPR Compliance .
Parece que há uma vulnerabilidade no plugin e houve uma série de ataques a sites que usam este plugin.
Existem diferentes estágios de infecção:
- usuários administradores estão sendo criados
- arquivos foram modificados
- redirecionamento para site russo
Recomendamos que você verifique se novos usuários com o nome “ t3trollherten ”, “ t2trollherten ” ou “ trollherten ” apareceram recentemente em seu site.
Após criar os usuários, os invasores modificaram os arquivos de outros scripts PHP (plugins). Por exemplo, encontramos arquivos PHP modificados na pasta do plugin Akismet.
Em alguns sites, encontramos este URL do Pastebin em wp_options em siteurl.
https://pastebin.com/raw/V8SVyu2P?Neste ponto, o site começa a falhar, você recebe erros de conexão com o banco de dados ou seu site é redirecionado para outro site, às vezes russo.
Como se recuperar do hack
Se não houver usuários, você estará bem, seu site provavelmente não foi atacado.
Para evitar que isso aconteça, atualize o plugin WP GDPR Compliance para a versão mais recente, os desenvolvedores corrigiram o
O ideal é manter todos os plugins e temas do WordPress atualizados para evitar possíveis problemas de segurança como este.
Se você encontrar esses usuários, há uma chance de eles não terem infectado o site, mas você não pode ter certeza, então provavelmente é melhor restaurar a partir de um backup e atualizar o plug-in WP GDPR Compliance.
Além disso, se você tiver um plugin de segurança como o Defender Pro, verifique sua instância do WordPress para ver se está limpa.
Se não conseguir restaurar ou não tiver um backup, você terá que limpar o site manualmente:
- exclua os usuários mal-intencionados do banco de dados
- exclua todos os arquivos PHP e JS (mantenha apenas wp-content/uploads)
- reinstale o WordPress e os temas e plug-ins que você usa
Se você quiser evitar essas situações, considere mudar de hospedagem compartilhada para hospedagem WordPress especializada. Nenhum de nossos de hospedagem WordPress gerenciada foi afetado, todos os sites afetados estavam em hospedagem compartilhada.
Não quer dizer que seja por causa da hospedagem, mas na hospedagem gerenciada você obtém monitoramento proativo, atualizações gerenciadas e pode evitar esse tipo de situação.
Quando identificamos o que estava acontecendo, atualizamos imediatamente o plugin nos sites de nossos clientes que possuíam a versão vulnerável e realizamos uma verificação automatizada.
Também temos clientes que hospedam conosco, mas não gerenciamos seus sites, não temos acesso às suas instâncias do WordPress.
Então procuramos no servidor a pasta wp-gdpr-compliance para identificar os clientes que utilizaram o plugin. Enviamos um e-mail para eles notificando a vulnerabilidade de segurança com instruções sobre como verificar se seus sites foram hackeados.
Se você também precisar de ajuda, não hesite em entrar em contato conosco.
Deixe uma resposta