Hosting az Auto SSL létrehozásakor
A támadó a Certificate Transparency Log-ot használja, amely minden, az Interneten kiadott és regisztrált SSL-tanúsítványt rögzít, hogy megtalálja az új WordPress-telepítéseket. Ez azért működik, mert általában akkor állítja elő az SSL-tanúsítványt, amikor hosting-ot is beállítja. A tanúsítvány kiadásakor a rekord megjelenik a nyilvános naplóban, amit bárki elérhet.
Az SSL megvédi webhelyét az illetéktelen hozzáféréstől, megvédi Önt és ügyfeleit a feltöréstől, és megőrzi az adatok biztonságát. SSL-tanúsítványok gyakran használhatók; e-kereskedelmi webhelyeken, ahol hitelkártya adatokat gyűjtenek, adminisztratív internetes portálokon jelszavas védelmet biztosító portálokon, vagy olyan projekteknél, amelyek megkövetelik a kormányzati felhatalmazások vagy iparági előírások betartását.
Fájlok másolása után elérhető a telepítő
Néhány érintett webhely vizsgálata után, webshellekkel rendelkező PHP-fájlok találhatóak a feltöltési mappában. A támadó néhány webhelyre telepítheti a WP fájlkezelőt és néhány hamis beépülő modult is.
Tehát, ha a támadó gyorsabb, beállíthatja a saját adatbázisát
Nagy az újra fertőzés veszélye, ha a valódi adatbázis-kiszolgálóra vált. Ezért minden felhasználói és DB jelszót feltörtnek kell tekinteni.
Ez nem egy WordPress-specifikus probléma, de a WP egy lédús célpont. Az lenne a legjobb, ha nem hagynánk nyilvánosan elérhetővé a telepítőt. A hozzáférést korlátozhatod például a .htaccess fájlon keresztül). A hozzáférés korlátozása mu-plugin segítségével is lehetséges.
A telepítő észrevétlenül folytatja
A legjobb, ha teljesen törlöd az új webhelyet, és újrakezded. Nem lehetsz biztos abban, hogy a támadó mit töltött fel a webhelyre, ezért a teljes eltávolítás a legegyszerűbb megoldás. A fertőzés egyik jele a wp-config.php fájl adatbázis bejegyzéseinek megváltozása. A DB_HOST konstans 199.247.1.121-re vagy más gyanús értékre módosul. A támadó hozzáfért a webhely adataihoz, ezért soha többé ne használd az eddigi felhasználói jelszavadat. Ezenkívül meg kell változtatnod az adatbázis jelszavát. Ha több webhelye is megosztod ugyanazt a hosting-ot, akkor ezeket is veszélyeztetettnek tekintheted, és ellenőrizned kell őket. Használhatsz Wordfence vagy Sucuri szkennert. Ha Wordfence-et használsz, használj nagy érzékenységű szkennelési módot – ellenőrizd az alapvető fájlokat és bővítményeket.