web-dev-qa-db-fra.com

Quelqu'un at-il une expérience avec des utilisateurs cachés de WordPress (MultiSite) (éventuellement piraté)?

J'ai 2 installations WordPress MultiSite installées (sur différents comptes, mais sous le même revendeur HostGator a/c) et les deux semblent avoir été compromis. Je dis "compromis" parce que les user_logins ont été modifiés (en quelque sorte) et que les "utilisateurs cachés" sont affichés via WP Admin.

J'ai essayé de me connecter aux installations qui sont à la fois mises à jour (3.1) MultiSites. J'utilise 1PassWord (avec des mots de passe alpha + numériques + symboliques de 50 caractères), de sorte que les mots de passe faibles ne sont pas le trou. Mes identifiants (que j'utilise tous les jours) ont été rejetés, ce qui m'a permis de savoir qu'il y avait un problème.

Je peux accéder à phpMyAdmin et assez bien, les user_logins et user_email ont été modifiés. Et si je les change via phpMyAdmin, 5 minutes plus tard, ils ont été réédités (maintenant, il semble que je ne puisse même plus le faire). * Fait intéressant, je ne pense pas que vous puissiez changer un nom d'utilisateur dans WP Admin (il est fantôme et non modifiable). Est-ce que cela signifie qu'ils piratent à l'extérieur de WP Admin afin de changer cela?

De plus, dans le tableau de bord des utilisateurs, 3 utilisateurs sont affichés, mais le nombre (en haut) indique qu'il y a 5 utilisateurs au total. Super Admin est une histoire similaire. Il affiche le décompte en tant que "3 Super Admins" mais un seul est affiché. (J'ai vérifié le code source et utilisé des outils de développement Web pour essayer de trouver du contenu caché dans ces pages d'administration, mais pas de joie).

J'espérais ajouter un nouveau super administrateur et supprimer l'ancien super admin (après avoir porté des publications sur le nouvel utilisateur admin). Mais je ne parviens pas à supprimer l'utilisateur Super Admin d'origine (ID = 1) même après avoir créé un nouveau Super Admin et supprimé les privilèges Super Admin de ID = 1. Lorsque je clique sur "Supprimer" (en survol de l'ID utilisateur = 1), rien ne se passe. la page se rafraîchit simplement.

HostGator a été étonnamment impuissant, sans doute désespéré et TRÈS lent à traiter cette question. Qui est en cours. Quelqu'un peut-il me donner un conseil ou une aide quelconque?.

3
TheLoneCuber

Je voudrais tout d’abord changer le mot de passe pour phpMyAdmin car je pense qu’ils ne peuvent pas obtenir la base de données suivante, mais si cela ne fonctionne pas, mais la balle et une installation propre mais sauvegardez tout le message et peut-être les commentaires si vous voulez. ot.

0
Benny

Utilisez-vous des plugins ou des thèmes piratés? J'ai vu cela se produire sur quelques sites clients car ils avaient installé un plugin pour lequel ils ne voulaient pas acheter de licence. De nombreux relecteurs Warez insèrent du code caché dans les plugins et les thèmes qui s'exécutent à leur installation et à chaque chargement ultérieur. .

Cependant, il existe quelques exploits basés sur Host affectant Mediatemple et Hostgator et dont je sais que cela peut causer ce genre de problème. Il est inhabituel qu'un utilisateur malhonnête soit créé, c'est généralement que votre site est détourné et redirigé vers un site Web de pharmacie malfaisante ou quelque chose du genre.

Si j'étais vous, je change le thème de votre site par défaut et vois si les comptes ne sont plus recréés et les modifications apportées. Ensuite, si ce n’est pas le problème, désactivez vos plugins un à un jusqu'à ce que vous les voyiez s'arrêter. Si cela ne fonctionne pas, les fichiers de base ont été compromis et vous devrez procéder à une réinstallation.

Le code d’exploitation Wordpress aime se cacher habituellement dans le dossier wp-includes puis quelques niveaux plus bas dans les répertoires de thèmes TinyMCE. J'espère que cela a aidé.

PS Installez le plugin susmentionné 'Bulletproof Security' et un plugin appelé 'Vaccine' qui seront tous les deux d'une aide précieuse.

0
Dwayne Charrington