WordPress GDPR 插件漏洞利用——所有你需要知道的

截至 2018 年 11 月 9 日,WP GDPR 合规插件已被黑客利用。 该插件可帮助电子商务网站所有者遵守欧洲隐私标准。 由于 GDPR 的本质是保护欧盟公民的个人数据和隐私,因此应尽快采取措施以避免代价高昂的清理工作。 WP GDPR 合规性也以与许多表格结合使用而闻名,包括联系表格 7、重力表格和 WordPress 评论。

这种 hack 的主要特点是增加了新用户,用户 admin 特权。 这些管理用户可以完全访问您的 WordPress 网站。 对于管理员用户,黑客可以在您不知情的情况下更改您的网站,包括制作恶意页面或出售访问者的信息。

本文向 WP GDPR 用户展示如何:

确定您是否使用 WP GDPR

如果您熟悉如何登录 WordPress 后端,您可以轻松查看您是否在使用此插件。

第1步: Enter 通过转到 WordPress 后端 yourdomain.com/wp-login.php 在您的浏览器中。

第2步: 使用您的 WordPress 用户名和密码登录并导航到 插件 然后点击 已安装的插件 在屏幕的左侧。

第 3 步: 向下滚动任何已安装的插件以查看是否 WP GDPR 合规性 在您的列表中。 在此屏幕上,您将能够在插件名称右侧看到插件的版本。 任何低于 1.4.3 的版本都容易受到攻击,应该进行更新。

注意:记录在案的证据表明,非活动的 GDPR 插件不易受到攻击。

升级 WP GDPR

尽管这是一个严重的漏洞,但通过执行简单的更新很容易修补和保护自己。

第1步: 按照上述“如何识别您是否使用 WP GDPR 插件”部分中的步骤登录并找到您的 插件 菜单。

第2步: 之后,找到 WP GDPR 合规性,如果您运行的是过时版本,您会看到一条消息,告知您可以更新。 选择“现在更新”链接会自动升级到最新版本。

你被黑了吗?

下面列出了几种识别这种黑客的方法,但您也可以使用 Wordfence 安全扫描器.

妥协指标包括以下特征:

  • 创建具有管理员权限的新用户
  • 数据库中的用户 wp-用户 名为 t2trollherten 和 t3trollherten 的表
  • 插入到代码中的 URL 被视为 pornmam.com
  • 安装 2MB 自动编码 插件,由 WP-Cron 通过 WooCommerce 的 woocommerce_plugin_background_installer 执行
  • wp_options 数据库中的表有一个以开头的条目 2mb_autocode 或者 默认角色 设置为“订阅者”以外的任何内容
  • 最近的编辑 wp-super-cache/wp-cache.php 文件
  • 创建后门文件, /wp-content/uploads/…/wp-upd.php
  • 传入 IP 来自:
    • 109.234.39.250
    • 109.234.37.214
    • 195.123.213.91
    • 46.39.65.176

如果受到影响怎么办

如果您推断您的站点受到了前面提到的特征的影响,那么您将需要立即进行补救,因为同一服务器上的其他站点可能会受到影响。

  • Liquid Web 客户可以购买恶意软件清理包
  • 从受感染的文件中手动删除代码
  • 从 2018 年 11 月 8 日之前的备份恢复(请记住,这仍然是旧版本,您的站点仍然处于危险之中)