Un usuario preguntó 👇
¡Hola! Quizás una pregunta estúpida …
No hace mucho, mi plugin de Wordfence alarmó una cuenta de administración anónima, creada con Wordfence, fuera de WordPress. El nombre de la cuenta era: «Administrador», función: administrador / superusuario, correo electrónico: «[email protected]».
¿Es esta una característica nueva de WordPress, la creación de plugins o mi sitio está pirateado? ¿Es esta una cuenta falsa que dice ser un perfil de soporte oficial de WP, por lo que parece más confiable?
Eliminé la cuenta, pero queda por verla. Lo último que hice fue cambiar el rol de la cuenta a suscriptor (no estoy seguro de si el nombre es correcto, tengo una buena localización del idioma). Pero lo que quiero decir es que cambié el rol a un rol en el nivel más bajo. Hasta ahora ha permanecido así.
Ejecuté un escaneo de Wordfence y algunos escaneos de malware en línea. Nadie detectó software malicioso ni ninguna otra actividad sospechosa. Wordfence tampoco detectó cambios en el archivo.
También probé upload-folder, pero no encontré nada sospechoso. Y miré la carpeta raíz y la carpeta wp-admin, y no vi nada que pudiera sospechar de inmediato.
Una cuenta de administrador desconocida es una cosa extraña. El sitio funciona normalmente. Y puedo registrar y ejecutar todas las tareas administrativas con normalidad.
Nadie sabe de esto.
Gracias.
Kalle
editar: error tipográfico.
Este tema fue modificado hace 2 años, 4 meses por.
(@wurpe)
Hace 2 años, 4 meses
Hola, solo para confirmar, su nombre de usuario de WordPress no es * Administrador *, ¿verdad?
Ni WordPress ni nadie de WordPress.org creará una cuenta en su sitio de WordPress. Siga el procedimiento estándar para proteger su sitio de un pirateo que incluye cambiar la contraseña (use una contraseña segura única para cada cuenta) para su cuenta de alojamiento, base de datos, WordPress, FTP y cualquier otra cosa. podría utilizarse para acceder a su sitio. Asegurarse eliminado cuenta de administrador desconocida.
(@anevins)
Donante de WCLDN 2018 Apoyo voluntario
Hace 2 años, 4 meses
Nota al margen, @quttera, se pierde la firma (lo que dice ‘buena voluntad, su nombre, su empresa y su personal’)
(@wurpe)
Hace 2 años, 4 meses
Hola de nuevo, un miembro de Wordfence fue tan amable de proporcionarnos (voluntarios del foro de wordpress.org) una actualización sobre este tipo de hockey. Este tipo de hockey aún se está investigando en cuanto a qué lo causa. Asegúrate de tener Jetpack integrado para cambiar tu contraseña de wordpress.com. Además, si está utilizando el plugin Ultimate Member, asegúrese de tener instalada la última versión (y probablemente sea mejor actualizar todos los demás plugins).
Esta respuesta fue modificada hace 2 años, 4 meses. Razón: aclaración
(@sterndata)
Moderador del foro y voluntario del equipo de apoyo
Hace 2 años, 4 meses
Esa es una hipótesis, no un hecho. ¿Está utilizando la función de administración centralizada de Jetpack?
(@ekallu)
Hace 2 años, 4 meses
Gracias a todos por la informacion.
«Hola, solo para confirmar, su nombre de usuario de WordPress no es * Administrador *, ¿verdad?»
No, el «administrador» es el falso.
No tengo un plugin Jetpack o Ultimate Member. Además, todos los plugins tienen instaladas las últimas versiones.
(@ekallu)
Hace 2 años, 4 meses
Tengo un plugin WP Security Log-Audit, pero el registro no mostró cambios sospechosos.
Wordfence muestra advertencias en un archivo de plugin: wp-content / plugins / wp-security-audit-log / readme.txt. Una comparación muestra que se cambiaron algunas líneas, pero no sé si es relevante. No veo ningún código en ese archivo. Parece ser un archivo de texto normal.
Sucuri Sitecheck (escaneo gratuito) no encontró nada.
Los resultados del escaneo de Quttera.com son limpios.
(@ekallu)
Hace 2 años, 4 meses
Alarma de Verificador de enlaces encubiertos en «Verificar el encubrimiento». Otras pruebas no asustan. La prueba de cloack sugiere: “Hay una diferencia de 532 bytes entre la versión de la página que publica en Chrome y la versión que publica en GoogleBot. Esto probablemente significa que hay algún código ejecutándose en su sitio que está tratando de ocultarse de los navegadores solo para que Google piense que hay algo más en la página. «
La salida es: [ Completely deleted ]
Esta respuesta fue modificada hace 2 años, 4 meses. Esta respuesta fue modificada hace 2 años, 4 meses. Causa: código de malware eliminado
(@jdembowski)
Moderador del foro y Bruto Squad
Hace 2 años, 4 meses
@ekallu No vuelva a publicar ese código aquí. Agrega valor cero y no pertenece a estos foros.
Su sitio ha sido pirateado y debe gastarlo comenzando con las instrucciones anteriores.
https://wordpress.org/support/topic/unknown-admin-account-is-my-site-hacked/?view=all#post-10649184
Que es básicamente esto.
Por favor, mantén la calma y lee esto con atención.
https://codex.wordpress.org/FAQ_My_site_was_hacked
Una vez que haya lanzado con éxito su sitio, considere leer esto también.
https://codex.wordpress.org/Hardening_WordPress
(@ekallu)
Hace 2 años, 4 meses
Gracias por la información.
Estas guías aconsejan buscar contenido de wp con grep -command a través de SSH e investigar archivos modificados con find -command. ¿Son necesarias estas acciones o es suficiente ejecutar el análisis completo con Wordfence? Wordfence buscará archivos en los cambios. ¿Hay alguna diferencia entre lo que hace un escaneo WF y lo que hacen estos comandos de línea de comandos?
El problema con la salida de grep es que no lo entiendo lo suficiente como para decir qué es relevante y qué no.
¿Solucionó tu problema??
0 / 0