Astăzi, a fost găsit un alt plugin periculos, care este prezent în repozitoriul WordPress - phpMyAdmin portabil. Dacă aveți acest plug-in instalat pe site-ul dvs., asigurați-vă că îl dezactivați și îl ștergeți. Cum funcționează acest plugin? Pentru ce este? Plug-in Funcțiile portabile phpMyAdmin funcționează destul de simplu (care, de fapt, reprezintă rădăcina problemei). Odată ce ați accesat panoul de administrare al site-ului dvs., puteți accesa baza de date principală accesând meniul Portabil PMA. Odată ce faceți acest lucru, veți putea să deschideți phpMyAdmin în panoul de administrare WordPress. Nu e rău, nu-i așa? Desigur, dacă sunteți administrator, înseamnă că trebuie să aveți instrumentele necesare pentru a lucra cu baza de date.
Deci, care este problema?
Nu pare nimic teribil? Un abonat poate accesa numai o pagină cu profilul său personal. Se pare că totul este protejat în mod fiabil, un observator din afară va gândi și ... va fi confundat.
Ce vedem?
Cel mai probabil, veți vedea phpMyAdmin și tabele standard ale site-ului dvs., după cum se arată în captura de ecran:
Un abonat pe site-ul dvs. care știe despre o astfel de recepție poate accesa baza de date principală. Vă puteți imagina ce poate face?
În funcție de setările serverului și bazei de date, utilizatorul poate distruge date, șterge baze de date, poate crea noi baze de date și, în cele din urmă, poate perturba funcționarea întregului site în ansamblu. Dacă toate bazele de date sunt comune unul cu altul, atunci utilizatorul va avea acces nu numai la baza de date pentru un singur site, ci la toate bazele de date din cluster.
Selectați baza de date din lista derulantă din partea stângă a ecranului. Puteți vedea toate tabelele bazei de date și toate informațiile stocate în ele.
Din lista derulantă din partea stângă, selectați baza de date pe care doriți să o modificați (sugestie: aceasta nu este informație_schema). Imediat ce este afișată lista de tabele, selectați wp_users (pentru site-uri individuale) sau wpmain_users (pentru multisite).
Cel mai probabil, fila Structură va fi activă. Faceți clic pe fila Parcurgere pentru a vedea datele stocate în tabelele bazei de date din jumătatea inferioară a ecranului. Faceți clic pe câmpul din dreptul oricărui nume de utilizator și faceți clic pe pictograma creion de sub conținutul tabelului. Notă: nu utilizați pictograma creion pentru lista de intrări, deoarece este posibil ca aceasta să genereze o eroare 404.
După cum puteți vedea, a durat destul timp și efort pentru a obține un site web în managementul său.
Ce altceva pot să fac?
După cum am menționat mai devreme, totul depinde de setările serverului și bazei de date. Serverul meu nu permite crearea de noi baze de date, dar nu toate serverele sunt configurate exact la fel. Dacă acest lucru nu este interzis, atunci atacatorul poate crea noi baze de date, schimba ceva în bazele de date existente, șterge bazele de date etc. Există multe probleme potențiale.
Este acest plugin încă pe site-ul dvs.? Scoateți-l imediat! Și niciodată să nu mai reveniți la el!
Este dezvoltatorul plugin-ului să nu aibă grijă de asta?
Indiferent dacă plug-in-ul este actualizat, încă nu îl folosesc nici acum, nici în viitor. Nu înțeleg de ce o persoană ar putea avea nevoie de acces la propria bază de date în cadrul panoului de administrare. Există și alte modalități mai sigure de a lucra cu baza de date.
Ce înlocuiri de plugin-uri există?
Prima soluție, phpMyAdmin, îmi provoacă unele preocupări cu privire la ceea ce sa întâmplat deja în trecut, așa că personal folosesc instrumentul Navicat. Are tot ce vrei. Cu alte soluții nu au funcționat.