Seguridad
está sin resolverEs problema distinto al que se viene experimentando otras veces. He leído los posts sobre la creación de usuarios invisibles con permisos de admin y lo he vivido antes de las últimas actualizaciones, pero el otro día me pasé por phpmyadmin a ver el estado de la BD y cual es mi sorpresa que vi en la tabla de "usermeta" datos de usuarios con ID no existentes, y además con permisos de admin. Eso sí, en la tabla de usuarios no existían:
En el nombre tiene el siguiente código:
Obviamente es una especie de hackeo, pero acabo de reinstalar el blog apenas hace tres días.
He leído estos posts:
http://ocaoimh.ie/did-your-wordpress-site-get-hacked/
http://wordpress.org/support/topic/294128
http://ayudawordpress.com/foro/topic/problemas-al-comentar-y-pinchar-el-post-del-blog
http://ayudawordpress.com/permalinks-cambiados-a-evalbase64_decode_serverhttp_referer/
Pero ninguno me dice nada. También he usado el plugin "exploit scanner" y no ha detectado nada raro, pero en la BD tengo esos tres usuarios idénticos con distinta ID (en la tabla de usermeta, no en la de users). Los plugins que tengo instalados son bajados de Wordpress.org y el theme es el Elegant-Grunge modificado por mí.
Plugins instalados:
¿Alguna idea de por qué ocurre esto? Se supone que si no hay usuario creado, "no pasa nada", pero si han conseguido tocar la BD para una cosa, pueden conseguirlo para otra. A ver si alguien sabe algo. Muchas gracias por adelantado.
EDIT:
Si es relevante, el blog es el siguiente (uno de los mejores blogs de música hoy en día xD):
http://tanakamusic.com/
Aunque no sepáis el motivo, ¿a alguien más le pasa aún teniendo la última versión recién instalada? :/
Hola FeR! Los hackeos son una porquería, no? Se me ocurre que probablemente el cracker - más probalblemente script automático- que inserto esos usarios dejó alguna backdoor por ahí que no has eliminado con el upgrade. Te recomendaría revisar cuidadosamente tu theme, y tu base de datos, si es posible, hacer un backup, limpiarla completita, y después exportarla.
Acá hay una guía de pasos que podrías seguir:
Saludos!
P.S: también mira tus error y access logs, probablemente te puedas dar cuenta de que IP o referrer vienen los ataques, y bloquearlos en el .htaccess.
Lo de la IP en los logs he de mirarlo. Sobre lo de la BD, estaba perfectamente nueva cuando lo hice, porque la revisé de pé a pá. Lo único puede ser el theme que no está actualizado del todo, pero aún así no vi nada raro en ningún archivo del theme. Hice todo eso que dices antes de la última actualización, pero aún así me pasó. Lo único que puede ser, es el theme y los plugins, pero estos últimos son los que puse y todos en su última versión.
De todas maneras, los borré hace unos días y aún no volvió a ocurrir. Seguramente fuese un script el "cracker", pero bueno, siempre está bien saberlo. Miraré los logs, pues. ^^
¡Saludos y gracias!
De nada, FeR. Mucho más no se me ocurre, por suerte no he tenido la experiencia de que me hackearan nunca con WP, pero sí con joomla -una de las tantas razones para convertirme-, así que no tengo demasiada experiencia, por así decirlo, más allá de los consejos de sentido común. Otra cosa que se me ocurre, que he visto pasar con muchos CMS hackeados es que el ataque venga del mismo servidor. Algunos servidores compartidos tienen muchas alimañas dentro, y malas configuraciones de seguridad y algún miserable hábil puede ir subiendo con algún script, y toquetear sitios ajenos. Por lo pronto, te recomiendo que mires bien tu theme - insertar código ahí es un lugar común- y tu carpeta uploads.
Saludos!
Eso no creo que sea, porque es un dominio aparte del resto del server y sólo tenemos la instalación de WordPress y nada más. La carpeta uploads tampoco tiene nada raro más que imágenes y algún PDF, así que nada. Seguiré mirando. ^^
¡Gracias!
Debes Identificarte para publicar.
