Při monitorování útoků na WordPress instalace, zanamenala služba WordFence, masívní nárůst nového typu útoků.
Automatizovaný útok scanuje url /wp-admin/setup-config.php. V případě, že je tato url nalezena a obsahuje setup, útočník zjistí, že je sice nainstalován WordPress, ale není dokončena instalace.
V tu chvíli je poměrně snadné pro útočníka napadnout nejen nový web, ale i hosting a všechny weby v něm umístěné.
Jak útok funguje?
WordPress může být nainstalován pomocí FTP, prostým překopírováním souborů, nebo instalaci vytvoří hosting pomocí autoinstalačního balíčku.
V obou případech to může znamenat, že na serveru jsou potřebné soubory, ale není vytvořený configurační soubor.
Útočník pak jednoduše projde instalčním formulářem a do formuláře pro přístup k databázi, vloží svou databázi. Následně dokončí instalační proces a s údajik admin účtu, jenž zadal, je schopen se přihlásit do administrace WordPressu.
Díky tomu, že má admin práva, může na server nainstalovat jakýkoliv plugin a díky němu i spustit bez problému škodlivý kód.
Jeho provedením tak může získat přístup ke všem souborům a instalacím, jenž jsou součástí hostingu.
Zdroj: https://www.wordfence.com/blog/2017/07/wpsetup-attack/
Pingback: Nový automatizovaný útok na nedokončené instalace WordPressu – podnikej.net
a obrana?:-)
Jednoduchá a vyplývá z toho, jak útok funguje. Nenechávat „rozdělanou“ instalaci, tzn. nemít na webu soubor /wp-admin/setup-config.php
Jsem WP začátečník, takže se jen ujišťuju: normálně ve složce v ftp na všech webech, které mám na WP smazat soubor /wp-admin/setup-config.php ? Nic tím nerozhodím? díky
Dobrý den
setup-config.php je ignorován, pokud je dokončená instalace. Pokud máte již WordPress nainstalován, nemusíte nic mazat.